Suojauksen ja hallinnon näkökohtia
Monet asiakkaat miettivät, miten Power Platform voidaan ottaa laajemmin käyttöön liiketoiminnassa ja miten sitä tuetaan IT:ssä? Vastaus on hallinnointi. Sen tavoitteena on antaa liiketoimintaryhmille mahdollisuus ratkaista liiketoiminnan ongelmia tehokkaasti samalla, kun noudatetaan IT:n ja liiketoiminnan vaatimustenmukaisuuden standardeja. Seuraavan sisällön tarkoituksena on jäsentää teemoja, jotka usein liittyvät hallintaohjelmistoihin ja tuoda tietoisuutta kunkin teeman käytettävissä olevista ominaisuuksista, jotka liittyvät Power Platformin hallintaan.
Teema | Yleisiä kysymyksiä, jotka liittyvät kuhunkin tämän sisällön käsittelemään teemaan |
---|---|
Arkkitehtuuri |
|
Suojaus |
|
Hälytys ja toiminto |
|
Seuraa |
|
Arkkitehtuuri
Ensimmäiseksi kannattaa tutustua ympäristöihin, jotta yritykselle voidaan luoda oikea hallintotapa. Ympäristöt ovat kaikkien Power Apps-, Power Automate- ja Dataverse-resursseja käyttävien resurssien säilöjä. Ympäristöjen yleiskatsaus on hyvä pohjamaali, jota tulisi seurata Mikä on Dataverse?, Tyypit Power Apps, Microsoft Power Automate yhdistimet ja paikallinen yhdyskäytävät.
Suojaus
Tässä osassa esitellään mekanismit, joiden avulla voi hallinnoida Power Appsin käyttöä ympäristössä ja käyttää tietoja, kuten käyttöoikeuksia, ympäristöjä, ympäristön rooleja, Microsoft Entra ID:tä, tietojen menetyksen estämisen käytäntöjä ja järjestelmänvalvojan yhdistimiä, joita voi käyttää Power Automaten kanssa.
Käyttöoikeudet
Power Appsin ja Power Automaten käyttöön tarvitaan käyttöoikeus. Käyttäjällä olevan käyttöoikeuden tyyppi määrittää resurssit ja tiedot, joita käyttäjä voi käyttää. Seuraavassa taulukossa esitellään niiden resurssien erot, jotka ovat käyttäjän käytettävissä palvelupaketin tyypin mukaan ylhäältä alaspäin. Käyttöoikeuksien tarkemmat tiedot löytyvät käyttöoikeuksien yleiskatsauksesta.
Suunnittelu | Kuvaus |
---|---|
Microsoft 365 sisältyy | Tämän ansiosta käyttäjät voivat laajentaa SharePointin ja muut Office-resurssit, jotka heillä on jo käytössä. |
Dynamics 365 sisältyy | Näin käyttäjät voivat mukauttaa ja laajentaa asiakkaan aktivointisovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation), jotka heillä jo on. |
Power Apps-palvelupaketti | Tämän avulla
|
Power Apps -yhteisö | Näin käyttäjä voi käyttää Power Apps, Power Automate, Dataverse, ja mukautettuja yhdistimiä yhdessä yksittäiseen käyttöön. Sovellusten jakaminen ei ole mahdollista. |
Power Automate - ilmainen | Tällä tavoin käyttäjät voivat luoda työnkulkuja rajoittamattoman määrän ja suorittaa niitä 750 kertaa. |
Power Automate-palvelupaketti | Lisätietoja on Microsoft Power Appsin ja Microsoft Power Automaten käyttöoikeusoppaassa. |
Ympäristöt
Kun käyttäjillä on käyttöoikeudet, ympäristöt ovat käytettävissä kaikkien Power Apps-, Power Automate- ja Dataverse-resurssien käyttäminä säilöinä. Ympäristöjä voidaan käyttää eri yleisöille kohdistamiseen ja/tai eri tarkoituksiin, kuten kehittämiseen, testaamiseen ja tuotantoon. Lisätietoja on ympäristöjen yleiskatsauksessa.
Tietojen ja verkon suojaaminen
- Power Apps Älä Power Automate myöskään anna käyttäjille käyttöoikeutta tietoresursseihin, joihin heillä ei vielä ole käyttöoikeutta. Käyttäjillä on oltava käytettävissään vain ne tiedot, joihin he tarvitsevat käyttöoikeudet.
- Verkon käyttöoikeuksien hallintakäytännöt voivat koskea myös Power Appsia ja Power Automatea. Ympäristön yksi käytäntö voi estää verkkoa käyttämästä sivustoa estämällä sisäänkirjaussivun yhteyksien luomisen Power Appsissa ja Power Automatessa.
- Käyttöoikeutta hallitaan ympäristössä kolmella tavalla: ympäristön roolit, Power Appsin, Power Automaten jne. resurssien oikeudet ja Dataversen käyttöoikeusroolit (jos Dataverse-tietokanta on valmisteltu).
- Kun Dataverse luodaan ympäristössä, roolit Dataverse siirtyvät ympäristön suojauksen hallintaan (ja kaikki ympäristön järjestelmänvalvojat ja tekijät siirretään).
Kukin roolityyppi tukee seuraavia objekteja.
Ympäristön tyyppi | Role | Objektityyppi (Microsoft Entra ID) |
---|---|---|
Ympäristö ilman Dataversea | Ympäristön rooli | Käyttäjä, ryhmä, vuokraaja |
Resurssin oikeudet: kaaviosovellus | Käyttäjä, ryhmä, vuokraaja | |
Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1 | Käyttäjä, ryhmä | |
Ympäristö Dataversen kanssa | Ympäristön rooli | Käyttäjä |
Resurssin oikeudet: kaaviosovellus | Käyttäjä, ryhmä, vuokraaja | |
Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1 | Käyttäjä, ryhmä | |
Dataverse-rooli (koskee kaikkia mallipohjaisia sovelluksia ja osia) | User |
1Vain tietyt yhteydet (kuten SQL) voidaan jakaa.
Muistiinpano
- Oletusympäristössä kaikille vuokraajan käyttäjille myönnetään käyttöoikeus ympäristön tekijän rooliin.
- Käyttäjillä, joilla on Järjestelmänvalvoja rooli, Power Platform on järjestelmänvalvojan käyttöoikeudet kaikkiin ympäristöihin.
FAQ - Mitä käyttöoikeuksia Microsoft Entra vuokraajatasolla on?
Microsoft Power Platformin järjestelmänvalvojilla on tällä hetkellä seuraavat mahdollisuudet:
- Power Appsin ja Power Automaten käyttöoikeusraportin lataaminen
- Luo DLP-käytäntö, joka on tarkoitettu kaikille ympäristöille, sisältämään tietyt ympäristöt tai sulkemaan tietyt ympäristöt pois.
- Käyttöoikeuksien hallinta ja delegoiminen Office-hallintakeskuksen kautta
- Voit käyttää kaikkia ympäristön, sovelluksen ja työnkulun hallintaominaisuuksia kaikissa vuokraajan ympäristöissä seuraavien avulla:
- Power Apps-järjestelmänvalvojan PowerShell cmdlets -komennot
- Power Appsin hallinnan yhdistimet
- Käytä Power Appsin ja Power Automaten järjestelmänvalvojan analyyseja kaikissa vuokraajan ympäristöissä:
Harkitse Microsoft Intunea
Asiakkaat, joilla on Microsoft Intune, voivat määrittää mobiilisovelluksen suojauskäytännöt sekä Power Apps Power Automate että sovelluksille ja Android iOS. Tässä opastuksessa kerrotaan käytännön määrittämisestä Power Automatelle Intunen avulla.
Harkitse sijaintiin perustuvan ehdollisen käyttöoikeuden käyttöä
Jos asiakkailla on käytössä Microsoft Entra ID P1 tai P2, ehdollisen käyttöoikeuden käytännöt voidaan määrittää Power Appsille ja Power Automatelle Azuressa. Tämä mahdollistaa käyttöoikeuden myöntämisen tai estämisen käyttäjän/ryhmän, laitteen ja sijainnin perusteella.
Ehdollisen käyttöoikeuden käytännön luominen
- Kirjaudu https://portal.azure.com.
- Valitse Ehdollinen käyttöoikeus.
- Valitse + Uusi käytäntö.
- Valitse valitut käyttäjät ja ryhmät.
- Valitse Kaikki pilvisovellukset>Kaikki pilvisovellukset>Common Data Service hallitaksesi asiakasvuorovaikutussovellusten käyttöoikeuksia.
- Ehtojen (käyttäjäriskien, laiteympäristöjen ja sijaintien) käyttö.
- Valitse Luo.
Tietovuotojen estäminen tietojen menetyksen estämiskäytäntöjen avulla
Tietojen menetyksen estämiskäytännöt (DLP)pakottavat säännöt, joiden yhdistimiä voidaan käyttää yhdessä luokittelemalla yhdistimet joko Vain yritystiedot tai Yritystietoja ei sallita. Jos siis yhdistin asetetaan Vain liiketoimintatiedot -ryhmälle, sitä voi käyttää vain yhdessä muiden saman sovelluksen ryhmän yhdistimien kanssa. Power Platform järjestelmänvalvojat voivat määrittää käytäntöjä, jotka koskevat kaikkia ympäristöjä.
Usein kysytyt kysymykset
K: Onko vuokraajatasolla mahdollista hallita, mikä yhdistin on käytettävissä esimerkiksi niin, että Dropbox tai Twitter eivät ole sallittuja mutta SharePoint on?
A: Tämä on mahdollista käyttämällä yhdistimien luokitusominaisuuksia ja delegoimalla estetty-luokitus vähintään yhdelle yhdistimelle, jota et halua käytettävän. Huomaa, että on olemassa yhdistinten joukko, jota ei voi estää.
K: Onko yhdistimien jakaminen käyttäjien kanssa mahdollista? Onko esimerkiksi Teamsin yhdistin yleiskäyttöinen ja jaettava?
V: Yhdistimet ovat kaikkien käyttäjien käytettävissä lukuun ottamatta premium-yhdistimiä tai mukautettuja yhdistimiä, jotka tarvitsevat joko toisen käyttöoikeuden (premium-yhdistimet) tai jotka on jaettava eksplisiittisesti (mukautetut yhdistimet)
Hälytys ja toiminto
Valvonnan lisäksi monet asiakkaat haluavat tilata ohjelmistojen luomis-, käyttö- tai terveystapahtumia, jotta he tietävät, milloin toiminto on suoritettava. Tässä osassa esitellään muutamia keinoja, joiden avulla voi tarkkailla tapahtumia (manuaalisesti ja ohjelmallisesti) sekä suorittaa tapahtumaesiintymän käynnistämiä toimintoja.
Luo Power Automate -työnkulkuja, jos haluat hälytyksen tärkeistä tarkistustapahtumista
- Esimerkki käyttöönotettavasta hälytyksestä on Microsoft 365:n tietoturvan ja vaatimustenmukaisuuden tarkistuslokien tilaaminen.
- Tämä voidaan tehdä käyttämällä joko webhook-tilausta tai kyselyä. Kun Power Automate liitetään näihin hälytyksiin, järjestelmänvalvojat saavat sähköpostihälytysten lisäksi muitakin tietoja.
Luo tarvittavat käytännöt Power Appsia, Power Automatea ja PowerShellia varten
- Nämä PowerShell cmdlet -komennot antavat hallinnan järjestelmänvalvojille. He voivat automatisoida hallintakäytäntöjä tarvittaessa.
- Hallintaliittimet tarjoavat samantasoisen hallinnan, mutta lisäävät laajennettavuutta ja helppokäyttöisyyttä käyttämällä Power Apps ja Power Automate.
- Seuraavia järjestelmänvalvojan yhdistimien Power Automate -malleja voi ottaa nopeasti käyttöön:
- Tämän blogin ja sovellusmallin avulla voi lisätä nopeasti hallinnan yhdistämiä.
- Lisäksi kannattaa tutustua sisältöön, joka jaetaan yhteisön sovellusten galleriassa. Tässä on toinen esimerkki hallintakokemuksesta, jossa käytetään Power Appsia ja hallinnan yhdistimiä.
Usein kysytyt kysymykset
Ongelma Tällä hetkellä kaikki käyttäjät, joilla on Microsoft E3-käyttöoikeus, voivat luoda sovelluksia oletusympäristössä. Miten esimerkiksi ympäristön tekijäoikeudet voidaan ottaa käyttöön tietyssä ryhmässä. Kymmenen henkilöä luomaan sovelluksia?
Suositus PowerShellin cmdlet - ja hallintayhdistimet tarjoavat järjestelmänvalvojille täyden joustavuuden ja hallinnan, jotta he voivat luoda organisaatiolleen haluamiaan käytäntöjä.
Valvonta
On hyvin ymmärretty, että valvonta on kriittinen osa ohjelmistojen hallintaa suuressa mittakaavassa. Tässä osiossa korostetaan muutamia tapoja saada tietoa Power Apps kehityksestä Power Automate ja käytöstä.
Kirjausketjun tarkistaminen
Toimintojen kirjaaminen Power Apps on integroitu Officen tietoturva- ja yhteensopivuuskeskukseen, mikä mahdollistaa kattavan kirjaamisen eri Microsoft palveluissa, kuten Dataverse ja Microsoft 365. Office sisältää ohjelmointirajapinnan, joka tekee näistä tiedoista kyselyn. Useat SIEM-toimittajat käyttävät sitä parhaillaan aktiviteettien kirjaustiedoissa raportointia varten.
Tarkastele Power Appsin ja Power Automaten käyttöoikeusraporttia
Valitse Analyysit>Power Automate tai Power Apps.
Power Appsin ja Power Automaten järjestelmänvalvojan analyysien tarkasteleminen
Voit saada tietoja seuraavista asioista:
- Aktiivinen käyttäjä ja sovelluksen käyttö – kuinka monta käyttäjää sovelluksella on ja miten usein?
- SIjainti - missä käyttö tapahtuu?
- Yhdistimien palvelun suorituskyky
- Virheiden raportointi - sovellukset, joissa tapahtuu eniten virheitä
- Käytössä olevat työnkulut tyypin ja päivämäärän mukaan
- Luodut työnkulut tyypin ja päivämäärän mukaan
- Sovellustason seuranta
- Palvelun kunto
- Käytössä olevat yhdistimet
Käyttöluvan saaneiden käyttäjien tarkasteleminen
Voit tarkastella yksittäisiä käyttöoikeuksia Microsoft 365 -hallintakeskuksessa porautumalla tiettyihin käyttäjiin.
Voit viedä delegoituja käyttöoikeuksia myös seuraavan PowerShellin komennon avulla.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Vie kaikki vuokralaiselle määritetyt käyttöoikeudet (Power Apps ja Power Automate) taulukkomuotoiseen .csv-tiedostoon. Viety tiedosto sisältää sekä itsepalvelun kirjautumisen sisäiset kokeilusuunnitelmat että suunnitelmat, jotka ovat peräisin Microsoft Entra ID:stä. Sisäiset kokeilusuunnitelmat eivät näy Microsoft 365 -hallintakeskuksen järjestelmänvalvojille.
Vienti voi kestää jonkin aikaa niiden vuokraajien osalta, joilla on suuri määrä Power Platform -käyttäjiä.
Ympäristössä käytettävien sovellusresurssien tarkasteleminen
- Valitse Power Platform -hallintakeskuksessa ympäristöt siirtymisvalikossa.
- Valitse ympäristö.
- Vaihtoehtoisesti ympäristössä käytettyjen resurssien luettelo voidaan ladata .csv.
Katso myös
Käytä parhaita käytäntöjä ympäristöjen suojaamiseen ja hallintaan Power Automate
Microsoft Power Platform Huippuyksikön aloituspakkaus