Overvejelser om sikkerhed og styring i Power Platform
Mange kunder spekulerer på, hvordan Power Platform kan gøres tilgængelig for hele virksomheden og understøttes af it? Svaret er styring. Det er med til at gøre det muligt for virksomhedsgrupper at fokusere på at løse forretningsproblemer på en effektiv måde, mens de overholder it- og virksomhedsstandarder. Følgende indhold har til formål at strukturere temaer, der ofte er knyttet til den styrende software, og at skabe opmærksomhed om de funktioner, der er tilgængelige for hvert tema i forhold til at styre Power Platform.
Tema | Almindelige spørgsmål vedrørende de enkelte temaer, som dette indhold giver svar på |
---|---|
Arkitektur |
|
Sikkerhed |
|
Advarsler og handlinger |
|
Overvåg |
|
Arkitektur
Det er en god ide at orientere dig om miljøer som det første trin, når du skal skabe den rette styringshistorie for virksomheden. Miljøer er objektbeholderne for alle ressourcer, der anvendes af Power Apps, Power Automate og Dataverse. Miljøoversigt er en god start, som skal efterfølges af Hvad er Dataverse?, Typer af Power Apps, Microsoft Power Automate, Connectorer og Gateways i det lokale miljø.
Sikkerhed
I dette afsnit beskrives mekanismer, der findes til styring af, hvem der kan få adgang til Power Apps i et miljø og få adgang til data: licenser, miljøer, miljøroller, Microsoft Entra ID, politikker til forebyggelse af datatab og administrationsforbindelser, der kan bruges sammen med Power Automate.
Licensering
Adgang til Power Apps og Power Automate starter med at få en licens. Den type licens, en bruger har, bestemmer, hvilke aktiver og data en bruger har adgang til. I følgende tabel beskrives forskelle i ressourcer, der er tilgængelige for en bruger, baseret på deres plantype, overordnet set. Du kan finde detaljerede licensoplysninger i Licensoversigt.
Planlæg | Beskrivelse |
---|---|
Microsoft 365 inkluderet | Det giver brugere mulighed for at udvide SharePoint og andre Office-aktiver, de allerede har. |
Dynamics 365 inkluderet | På denne måde kan brugere tilpasse og udvide kundeengagement-apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing og Dynamics 365 Project Service Automation), som de allerede har. |
Power Apps-plan | Det giver mulighed for følgende:
|
Power Apps Community | Det giver en bruger mulighed for bruge Power Apps, Power Automate, Dataverse og brugerdefinerede connectorer for den enkelte bruger. Det er ikke muligt at dele apps. |
Power Automate ledig | Det giver brugere mulighed for at oprette et ubegrænset antal flow og udføre 750 kørsler. |
Power Automate-plan | Se Vejledning om Microsoft Power Apps- og Microsoft Power Automate-licenser. |
Miljøer
Når brugere har licenser, findes der miljøer som objektbeholdere til alle ressourcer, der bruges af Power Apps, Power Automate og Dataverse. Miljøer kan bruges til at målrette forskellige målgrupper og/eller forskellige formål, f.eks. udvikling, test og produktion. Du kan finde flere oplysninger i Oversigt over miljøer.
Sikring af data og netværk
- Power Apps og Power Automate giver ikke brugere adgang til dataaktiver, som de ikke allerede har adgang til. Brugere skal kun have adgang til data, som de rent faktisk skal have adgang til.
- Politikker for kontrol af netværksadgang kan også gælde for Power Apps og Power Automate. For miljøet kan en bruger blokere adgang til et websted fra et netværk ved at blokere logonsiden for at forhindre, at der oprettes forbindelse til det pågældende websted i Power Apps og Power Automate.
- I et miljø styres adgangen på tre niveauer: miljøroller, ressourcetilladelser til Power Apps, Power Automate osv. og sikkerhedsroller til Dataverse (hvis en Dataverse-database er klargjort).
- Når Dataverse oprettes i et miljø, overtager Dataverse-rollerne for at kontrollere sikkerheden i miljøet (og alle miljøadministratorer og -oprettere overføres).
Følgende sikkerhedskonti understøttes for hver enkelt rolletype.
Miljøtype | Rolle | Kontotype (Microsoft Entra ID) |
---|---|---|
Miljø uden Dataverse | Miljørolle | Bruger, gruppe, lejer |
Ressourcetilladelse: lærredsapp | Bruger, gruppe, lejer | |
Ressourcetilladelse: Power Automate, brugerdefineret forbindelse, gateways,-forbindelser1 | Bruger, gruppe | |
Miljø med Dataverse | Miljørolle | Bruger |
Ressourcetilladelse: lærredsapp | Bruger, gruppe, lejer | |
Ressourcetilladelse: Power Automate, brugerdefineret forbindelse, gateways,-forbindelser1 | Bruger, gruppe | |
Dataverse-rolle (gælder for alle modelbaserede apps og komponenter) | Bruger |
1Det er kun visse forbindelser (f.eks. SQL), der kan deles.
Bemærk
- I standardmiljøet tildeles alle brugere i en lejer adgang til rollen Miljøopretter.
- Brugere med Power Platform-administratorrollen har administratoradgang til alle miljøer.
Ofte stillede spørgsmål – Hvilke tilladelser findes der på et Microsoft Entra-lejerniveau?
I dag kan Microsoft Power Platform-administratorer gøre følgende:
- Hente Power Apps- og Power Automate-licensrapporten
- Oprette en DLP-politik, der kun er beregnet til 'Alle miljøer' eller beregnet til at inkludere/udelukke bestemte miljøer
- Administrere og tildele licenser via Office Administration
- Få adgang til alle miljø-, app- og flowstyringsfunktioner for alle miljøer i lejeren, der er tilgængelige via:
- Power Apps PowerShell-cmdlet'er til administratorer
- Power Apps-administrationsforbindelser
- Få adgang til Power Apps- og Power Automate-administrationsanalyse for alle miljøer i lejeren:
Overvej Microsoft Intune
Kunder, der har Microsoft Intune, kan oprette politikker for beskyttelse af både Power Apps- og Power Automate-mobilapps på Android og iOS. I denne gennemgang oprettes der en politik via Intune til Power Automate.
Overvej placeringsbaseret betinget adgang
For kunder med Microsoft Entra ID P1 eller P2 kan politikker for betinget adgang defineres i Azure til Power Apps og Power Automate. Det gør det muligt at tildele eller blokere adgang på baggrund af: bruger/gruppe, enhed, placering.
Oprettelse af en politik for betinget adgang
- Log på https://portal.azure.com.
- Vælg Betinget adgang.
- Vælg + Ny politik.
- Vælg valgte brugere og grupper.
- Vælg Alle skyapps>Alle skyapps>Common Data Service for at styre adgangen til kundeengagementsapps.
- Anvend betingelser (brugerrisici, enhedsplatforme og placeringer).
- Vælg Opret.
Forhindre datalækager med politikker til forebyggelse af datatab
DLP-politikker (politikker til forebyggelse af datatab) gennemtvinger regler for, hvilke connectorer der kan bruges sammen, ved at klassificere connectorer som enten rene virksomhedsdata, eller ingen virksomhedsdata tillades. Hvis du anbringer en connector i gruppen kun med virksomhedsdata, kan den kun bruges sammen med andre connectorer fra den pågældende gruppe i det samme program. Power Platform-administratorer kan definere politikker, der gælder for alle miljøer.
Ofte stillede spørgsmål
Sp: Kan jeg på lejerniveau styre, hvilken connector der overhovedet er tilgængelig, f.eks. Nej til Dropbox eller Nej til Twitter, men Ja til SharePoint?
Sv: Det kan du gøre ved at bruge funktionerne til klassificering af connectorer og tildele den blokerede klassificering til en eller flere connectorer, du vil undgå at bruge. Der findes nogle connectorer, som ikke kan blokeres.
Sp: Hvad med deling af connectorer mellem brugere? Connectoren for Teams er f.eks. en generel en, der kan deles?
Sv: Connectorer er tilgængelige for alle brugere, bortset fra Premium- eller brugerdefinerede connectorer, som kræver enten en ekstra licens (Premium-connectorer), eller som udtrykkeligt skal deles (brugerdefinerede connectorer)
Advarsler og handlinger
Udover overvågning vil mange kunder abonnere på softwareoprettelse, brug eller tilstandshændelser, så de ved, hvornår de skal udføre en handling. I dette afsnit beskrives et par måder, du kan overvåge hændelser på (manuelt og via programmering), og udføre handlinger, der udløses af en hændelsesforekomst.
Opbygge Power Automate-flows til advarsel ved overvågningshændelser for nøgler
- Et eksempel på en advarsel, der kan implementeres, er at abonnere på Microsoft 365-sikkerhedslogge og -overvågningslogge for overholdelse.
- Dette kan opnås enten via et webhook-abonnement eller en forespørgselsmetode. Men ved at knytte Power Automate til disse advarsler kan vi give administratorer mere end bare mailbeskeder.
Oprette de politikker, du skal bruge sammen med Power Apps, Power Automate og PowerShell
- Disse PowerShell-cmdlet'er giver fuld kontrol til administratorer, som kan automatisere de nødvendige styringspolitikker.
- Power Platform for Admins V2 (forhåndsversion) og Power Automate-administrations-connectorerne giver samme kontrolniveau, men med tilføjelsesmuligheder og brugervenlighed ved at udnytte Power Apps og Power Automate.
- Gennemse Power Platform bedste praksis for administration og styring, og overvej at konfigurere CoE-startpakken (Center of Excellence).
- Brug denne blog- og appskabelon til hurtigt at få styr på administrationens connectorer.
- Det er også en god ide at kontrollere indhold, der deles af galleriet med communityapps. Her er et andet eksempel på en administrativ oplevelse, der er udviklet ved hjælp af Power Apps og administrationsconnectorer.
OFTE STILLEDE SPØRGSMÅL
Problem I øjeblikket kan alle brugere med Microsoft E3 licenser oprette apps i standardmiljøet. Hvordan kan vi aktivere miljøopretterrettigheder for en udvalgt gruppe. Ti personer opretter apps?
Anbefaling
PowerShell-cmdlet'er og administrationsconnectorer giver fuld fleksibilitet og kontrol til administratorer med henblik på at opbygge de politikker, de ønsker at bruge i organisationen.
Overvåg
Det er velkendt, at overvågning er et kritisk aspekt ved styring af software i stor skala. I dette afsnit fremhæves et par måder, hvorpå du kan få indsigt i Power Apps og Power Automate udvikling og brug.
Gennemse revisionssporet
Aktivitetslogføring for Power Apps er integreret i Office Security og Compliance Center for omfattende logføring på tværs af Microsoft-tjenester som Dataverse og Microsoft 365. Office indeholder en API til forespørgsel i disse data, som i øjeblikket anvendes af mange SIEM-leverandører for at bruge data om aktivitetslogføring til rapportering.
Få vist Power Apps- og Power Automate-licensrapporten
Gå til Power Platform Administration.
Vælg Analyser>Power Automate eller Power Apps.
Få vist Power Apps- og Power Automate-administratoranalyser
Du kan få oplysninger om følgende:
- Aktiv bruger- og appanvendelse – hvor mange brugere anvender en app og hvor ofte?
- Placering – hvor er forbruget?
- Tjenesteydeevne for connectorer
- Fejlrapportering – som er de mest fejlbehæftede apps
- Flows i brug efter type og dato
- Flows oprettet efter type og dato
- Overvågning på programniveau
- Servicetilstand
- Anvendte connectorer
Se, hvilke brugere der har licens
Du kan altid kigge på individuelle brugerlicenser i Microsoft 365 Administration ved at få detaljer om bestemte brugere.
Du kan også bruge følgende PowerShell-kommando til at eksportere tildelte brugerlicenser.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Eksporterer alle de tildelte brugerlicenser (Power Apps og Power Automate) i din lejer til en tabelopdelt .csv-fil. Den eksporterede fil indeholder både interne prøveplaner for selvbetjeningstilmelding og planer, der er hentet fra Microsoft Entra ID. De interne prøveplaner er ikke synlige for administratorer i Microsoft 365 Administration.
Eksporten kan tage et stykke tid for lejere, der har et stort antal Power Platform-brugere.
Få vist appressourcer, der bruges i et miljø
- Vælg miljøer i navigationsmenuen i Power Platform Administration.
- Vælg et miljø.
- Listen over ressourcer, der bruges i et miljø, kan hentes som en .csv-fil.