Säkerhets- och styrningsöverväganden

  • Artikel

Många kunder undrar hur kan Power Platform göras tillgänglig för den bredare verksamheten och stöds av IT? Styrning är svaret. Det syftar till att göra det möjligt för affärsgrupperna att fokusera på att lösa affärsproblem effektivt samtidigt som IT och organisationens efterföljandekrav efterlevs. Följande innehåll är avsett att strukturera funktioner som ofta associeras med styrande programvara och öka medvetenheten om de funktioner som är tillgängliga för varje ämne i fråga om styrning Power Platform.

Tema Vanliga frågor om varje tema som innehållet besvaras för
Arkitektur
  • Vilka är de grundläggande konstruktionerna och begreppen för Power Apps, Power Automate och Microsoft Dataverse?

  • Hur passar dessa konstruktioner samman vid design av tid och körtid?
Säkerhet
  • Vilka är de bästa metoderna för säkerhetsdesign?

  • Hur använder jag våra befintliga lösningar för användar- och grupphantering för att hantera åtkomst- och säkerhetsroller i Power Apps?
Avisering och åtgärder
  • Hur definierar jag styrningsmodellen mellan medborgarutvecklare och hanterade IT-tjänster?

  • Hur definierar jag styrningsmodellen mellan central IT och administratörer av affärsenhet?

  • Hur ska jag få support för miljöer som inte är standard i min organisation?
Övervaka
  • Hur fångar vi in regelefterlevnad och granskar data?

  • Hur kan jag vidta åtgärder för att mäta anpassning och användning inom organisationen?

Arkitektur

Vi rekommenderar att du bekantar dig med miljöer som det första steget för att skapa rätt styrelseberättelse för ditt företag. Miljöer är behållare för alla resurser som används av Power Apps, Power Automate och Dataverse. Miljööversikt är en bra grundkurs som bör följas av Vad är Dataverse?, Typer av Power Apps Microsoft Power Automate, Anslutningsappar och lokala gatewayer.

Säkerhet

Det här avsnittet innehåller mekanismer som styr vilka som kan komma åt Power Apps i en miljö och komma åt data: licenser, miljöer, miljöroller Microsoft Entra ID, policyer för att förhindra dataförlust och administratörsanslutningar som kan användas med Power Automate.

Licensiering

Åtkomst till Power Apps och Power Automate börjar med att ha en licens. Vilken typ av licens en användare har avgör vilka tillgångar och data en användare kan få tillgång till. Följande tabell innehåller skillnader i resurser som är tillgängliga för en användare utifrån vilken typ av schema som används, från en hög nivå. Detaljerad licensieringsinformation hittar du i licensieringsöversikten.

Planera Beskrivning
Microsoft 365 ingår Detta gör det möjligt för användare att utöka SharePoint och andra Office-resurser som de redan har.
Dynamics 365 ingår Detta gör det möjligt för användare att anpassa och utvidga program för kundengagemang (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing och Dynamics 365 Project Service Automation), de har redan.
Power Apps-plan Detta gör att:
  • du kan göra anslutningsprogram för företagsprogram och Dataverse tillgängliga för användning.
  • användarna bör använda robust affärslogik över programtyper och administrationsfunktioner.
Power Apps Community Detta gör det möjligt för en användare att använda Power Apps, Power Automate, Dataverse, och anpassade anslutningsappar i en enda för individuell användning. Det går inte att dela program.
Power Automate kostnadsfri Detta gör att användarna kan skapa obegränsat flöden och göra 750 körningar.
Power Automate-plan Se Microsoft Power Apps och Microsoft Power Automate licensieringsguide.

Miljöer

När användarna har licenser finns det miljöer som behållare för alla resurser som används av Power Apps, Power Automate och Dataverse. Miljöer kan användas för att rikta in sig på olika målgrupper och/eller för olika ändamål, t.ex. utveckling, testning och produktion. Mer information finns i miljöer: översikt.

Skydda dina data och nätverket

  • Power Apps Och Power Automate ge inte användarna åtkomst till några datatillgångar som de inte redan har åtkomst till. Användarna bör endast ha tillgång till data som de behöver tillgång till.
  • Principer för nätverksåtkomstkontroll kan även gälla för Power Apps och Power Automate. För miljön kan man blockera åtkomst till en webbplats från ett nätverk genom att blockera inloggningssidan för att förhindra att anslutningar till webbplatsen skapas i Power Apps och Power Automate.
  • I en miljö styrs åtkomsten på tre nivåer: Miljöroller, Resursbehörigheter för Power Apps, Power Automate, etc. och Dataverse säkerhetsroller (om en Dataverse databas tillhandahålls).
  • När Dataverse skapas i en miljö tar rollerna Dataverse över för att kontrollera säkerheten i miljön (och alla miljöadministratörer och skapare migreras).

Följande huvudkonton stöds för varje rolltyp.

Miljötyp Roll Huvudtyp (Microsoft Entra ID)
Miljö utan Dataverse Miljöroll Användare, grupp, klientorganisation
Resursbehörighet: arbetsyteapp Användare, grupp, klientorganisation
Resursbehörighet: Power Automate, anpassad anslutning, gateway, anslutningar1 Användare, grupp
Miljö med Dataverse Miljöroll Användare
Resursbehörighet: arbetsyteapp Användare, grupp, klientorganisation
Resursbehörighet: Power Automate, anpassad anslutning, gateway, anslutningar1 Användare, grupp
Dataverse-roll (gäller alla modellstyrda program och komponenter) Användare

1 Vissa anslutningar kan delas (t. ex SQL).

Kommentar

  • I standardmiljön beviljas alla användare i en klientorganisation tillgång till rollen som miljötillverkare.
  • Användare med Power Platform rollen Administratör har administratörsåtkomst till alla miljöer.

Vanliga frågor och svar – Vilka behörigheter finns på Microsoft Entra klientorganisationsnivå?

Idag kan Microsoft Power Platform administratörer göra följande:

  1. Hämta licensrapport för Power Apps och Power Automate
  2. Skapa DLP-policy endast till "alla miljöer" eller omfattning för att inkludera/exkludera specifika miljöer
  3. Hantera och tilldela licenser via Office administrationscenter
  4. Få tillgång till alla funktioner för miljöer, program och flödeshantering för alla miljöer i klientorganisationen som är tillgängliga via:
    • Power Apps Admin PowerShell cmdletar
    • Power Apps hanteringsanslutningar
  5. Få åtkomst till Power Apps och Power Automate administrationsanalyser för alla miljöer i klientorganisationen:

Överväg Microsoft Intune

Kunder med Microsoft Intune kan ange principer för skydd av mobilprogram för både Power Apps och Power Automate appar på Android och iOS. Den här genomgången beskriver hur du anger en policy via Intune för Power Automate.

Överväg villkorlig åtkomst för platser

För kunder med Microsoft Entra ID P1 eller P2 kan villkorliga åtkomstprinciper definieras i Azure för Power Apps och Power Automate. Detta gör det möjligt att bevilja eller blockera åtkomst baserat på: användare/grupp, enhet, plats.

Skapa en policy för villkorlig åtkomst

  1. Logga in på https://portal.azure.com.
  2. Välj villkorsstyrd åtkomst.
  3. Välj + Ny policy.
  4. Väljanvändare och grupper har valts.
  5. Välj Alla molnappar>Alla molnappar>Common Data Service för att styra åtkomsten till Customer Engagement-program.
  6. Tillämpa villkor (användarrisk, enhetsplattformar, platser).
  7. Välj Skapa.

Förhindra dataläckage med policyer för att förhindra dataförlust

Policyer för dataförlustskydd (DLP) tillämpar regler för vilka anslutningsprogram som kan användas tillsammans genom att klassificera anslutningsprogram som antingen Endast affärsdata eller Inga affärsdata tillåtna. Om du lägger till ett anslutningsprogram i gruppen endast affärsdata kan du bara använda den med andra anslutningsprogram från den gruppen i samma program. Power Platform administratörer kan definiera principer som gäller alla miljöer.

Vanliga frågor och svar

F: Kan jag på klientorganisationens nivå kontrollera vilken anslutning som är tillgänglig, till exempel Nej till Dropbox eller Twitter, men ja till SharePoint?

A: Detta är möjligt genom att använda funktionerna klassificering av anslutningsprogram och tilldela den blockerade klassificeraren Blockerade klassificerare till en eller flera kontakter som du vill undvika att användas. Observera att det finns en uppsättning anslutningsprogram som inte kan blockeras.

F: Kan man dela anslutningsprogram mellan användare? Är exempelvis anslutningsprogram för Teams en allmän kontakt som kan delas?

S: Anslutningsprogram är tillgängliga för alla användare med undantag för premiumanslutningar eller anpassade anslutningsprogram, som antingen behöver en annan licens (premiumanslutningar) eller måste delas uttryckligen (anpassade anslutningsprogram)

Avisering och åtgärd

Förutom övervakning vill många kunder prenumerera på programskapande, användning eller hälsohändelser så att de vet när de ska utföra en åtgärd. I det här avsnittet beskrivs några sätt att studera händelser (manuellt och programmässigt) och utföra åtgärder som utlöses av en händelseförekomst.

Skapa Power Automate-flöden för varningar om nyckelgranskningshändelser

  1. Ett exempel på en varning som kan implementeras är att prenumerera på spårningsloggar för Microsoft 365 säkerhet och regelefterlevnad.
  2. Detta kan uppnås antingen genom en webhook-prenumeration eller avsökning-metod. Genom att bifoga Power Automate till dessa aviseringar kan vi emellertid förse administratörer med fler än bara aviseringar via e-post.

Skapa de principer du behöver med Power Apps, Power Automate och PowerShell

  1. Dessa PowerShell cmdletar ger administratörerna full kontroll för att automatisera de styrningspolicyer som krävs.
  2. Hanteringsanslutningarna ger samma nivå av kontroll men med extra utökningsbarhet och användarvänlighet med hjälp Power Apps av och Power Automate.
  3. Följande Power Automate-mallar för administrationsanslutningar finns snabbt för att öka snabbt:
    1. Lista nya Power Automate anslutningsappar
    2. Hämta lista över nya Power Apps, Power Automate flöden och kopplingar
    3. Skicka mig en veckovis sammanfattning av Office 365 meddelanden i Meddelandecenter
    4. Få åtkomst till Office 365 säkerhets- och efterlevnadsloggar från Power Automate
  4. Använd den här blogg- och programmallen för att snabba på administrationsanslutningarna.
  5. Det är också värt att testa innehåll som delas i Community-programgalleri, här är ett annat exempel på en administrativ upplevelse med Power Apps och administratörsanslutningar.

Vanliga frågor och svar

Problem För närvarande kan alla användare med Microsoft E3-licenser skapa appar i standardmiljön. Hur kan du till exempel aktivera behörigheter av Miljöskapare för en utvald grupp. Tio personer för att skapa appar?

Rekommendation : PowerShell-cmdletarna och hanteringsanslutningarna ger administratörer fullständig flexibilitet och kontroll för att skapa de principer de vill ha för sin organisation.

Övervaka

Det är väl känt att övervakning är en viktig aspekt av att hantera programvara i stor skala. I det här avsnittet beskrivs ett par sätt att få insikt i Power Apps och Power Automate utveckling och användning.

Granska spårningsloggen

Aktivitetsloggning för Power Apps är integrerad med Office Security and Compliance Center för omfattande loggning över Microsoft tjänster som Dataverse och Microsoft 365. Office tillhandahåller en API för att fråga dessa data, som för närvarande används av många SIEM-leverantörer för att använda aktivitetsloggningsdata för rapportering.

Visa Power Apps och Power Automate-licensrapporten

  1. Gå till administrationscenter för Power Platform.

  2. Välj Analys>Power Automate eller Power Apps.

  3. Visa administrationsanalyser för Power Apps och Power Automate

    Du kan hämta information om följande:

    • Användning av aktiv användare och programanvändare – hur många användare använder ett program och hur ofta?
    • Sökväg – var är förbrukningen?
    • Tjänstprestanda för anslutningsprogram
    • Felrapportering – vilket är de mest felbenägna programmen
    • Flöden som används efter typ och datum
    • Flöden som skapas efter typ och datum
    • Granskning av programnivå
    • Tjänststatus
    • Anslutningsprogram som används

Visa vad användare som är licensierade

Du kan alltid titta på enskilda användarlicensiering i administrationscenter Microsoft 365 genom att gå in på specifika användare.

Du kan också använda följande PowerShell-kommando för att exportera tilldelade användarlicenser.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exporterar alla tilldelade användarlicenser (Power Apps och Power Automate) i din klientorganisation till en CSV-fil i tabelläge. Den exporterade filen innehåller både interna provplaner för registrering med självbetjäning och planer som kommer från Microsoft Entra ID. De interna utvärderingsversionsplanerna visas inte för administratörer i Microsoft 365 administrationscenter.

Exporten kan ta en stund för klientorganisationer med ett stort antal Power Platform-användare.

Visa de appresurser som används i en miljö

  1. I administrationscenter för Power Platform väljer du Miljöer i navigeringsmenyn.
  2. Välj en miljö
  3. Du kan också ladda ned listan över resurser som används i en miljö som en .csv.

Se även

Använd metodtips för att skydda och styra Power Automate miljöer
Microsoft Power Platform Startpaket för Center of Excellence (CoE)