Jaa

Suojauksen ja hallinnon näkökohtia

  • Artikkeli

Monet asiakkaat miettivät, miten Power Platform voidaan ottaa laajemmin käyttöön liiketoiminnassa ja miten sitä tuetaan IT:ssä? Vastaus on hallinnointi. Sen tavoitteena on antaa liiketoimintaryhmille mahdollisuus ratkaista liiketoiminnan ongelmia tehokkaasti samalla, kun noudatetaan IT:n ja liiketoiminnan vaatimustenmukaisuuden standardeja. Seuraavan sisällön tarkoituksena on jäsentää teemoja, jotka usein liittyvät hallintaohjelmistoihin ja tuoda tietoisuutta kunkin teeman käytettävissä olevista ominaisuuksista, jotka liittyvät Power Platformin hallintaan.

Teema Yleisiä kysymyksiä, jotka liittyvät kuhunkin tämän sisällön käsittelemään teemaan
Arkkitehtuuri
  • Mitkä ovat Power Appsin, Power Automaten ja Microsoft Dataversen perusrakenteet ja -käsitteet?

  • Miten nämä rakenteet sopivat yhteen suunnittelun ja suorituksen aikana?
Suojaus
  • Mitkä ovat tietoturvan suunnitteluun liittyvät parhaat käytännöt?

  • Miten voin käyttää olemassa olevia käyttäjien ja ryhmien hallintaratkaisujamme käyttöoikeuksien ja käyttöoikeusroolien hallintaan Power Apps?
Hälytys ja toiminto
  • Miten määritän hallintomallin kehittäjien ja hallinnoitujen IT-palveluiden välille?

  • Miten määritän hallintomallin keskitetyn IT:n ja liiketoimintayksiköiden järjestelmänvalvojien välille?

  • Miten saan tukea organisaation muille kuin oletusympäristöille?
Seuraa
  • Miten vaatimustenmukaisuus- ja seurantatietoja siepataan?

  • Miten voin mitata käyttöönottoa ja käyttöä omassa organisaatiossani?

Arkkitehtuuri

Ensimmäiseksi kannattaa tutustua ympäristöihin, jotta yritykselle voidaan luoda oikea hallintotapa. Ympäristöt ovat kaikkien Power Apps-, Power Automate- ja Dataverse-resursseja käyttävien resurssien säilöjä. Ympäristöjen yleiskatsaus on hyvä pohjamaali, jota tulisi seurata Mikä on Dataverse?, Tyypit Power Apps, Microsoft Power Automate yhdistimet ja paikallinen yhdyskäytävät.

Suojaus

Tässä osassa esitellään mekanismit, joiden avulla voi hallinnoida Power Appsin käyttöä ympäristössä ja käyttää tietoja, kuten käyttöoikeuksia, ympäristöjä, ympäristön rooleja, Microsoft Entra ID:tä, tietojen menetyksen estämisen käytäntöjä ja järjestelmänvalvojan yhdistimiä, joita voi käyttää Power Automaten kanssa.

Käyttöoikeudet

Power Appsin ja Power Automaten käyttöön tarvitaan käyttöoikeus. Käyttäjällä olevan käyttöoikeuden tyyppi määrittää resurssit ja tiedot, joita käyttäjä voi käyttää. Seuraavassa taulukossa esitellään niiden resurssien erot, jotka ovat käyttäjän käytettävissä palvelupaketin tyypin mukaan ylhäältä alaspäin. Käyttöoikeuksien tarkemmat tiedot löytyvät käyttöoikeuksien yleiskatsauksesta.

Suunnittelu Kuvaus
Microsoft 365 sisältyy Tämän ansiosta käyttäjät voivat laajentaa SharePointin ja muut Office-resurssit, jotka heillä on jo käytössä.
Dynamics 365 sisältyy Näin käyttäjät voivat mukauttaa ja laajentaa asiakkaan aktivointisovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation), jotka heillä jo on.
Power Apps-palvelupaketti Tämän avulla
  • voi muodostaa yrityksen yhdistimiä ja Dataverse -palvelun käyttöä varten
  • käyttäjät voivat käyttää tehokasta liiketoimintalogiikkaa kaikissa sovellustyypeissä ja hallintaominaisuuksissa.
Power Apps -yhteisö Näin käyttäjä voi käyttää Power Apps, Power Automate, Dataverse, ja mukautettuja yhdistimiä yhdessä yksittäiseen käyttöön. Sovellusten jakaminen ei ole mahdollista.
Power Automate - ilmainen Tällä tavoin käyttäjät voivat luoda työnkulkuja rajoittamattoman määrän ja suorittaa niitä 750 kertaa.
Power Automate-palvelupaketti Lisätietoja on Microsoft Power Appsin ja Microsoft Power Automaten käyttöoikeusoppaassa.

Ympäristöt

Kun käyttäjillä on käyttöoikeudet, ympäristöt ovat käytettävissä kaikkien Power Apps-, Power Automate- ja Dataverse-resurssien käyttäminä säilöinä. Ympäristöjä voidaan käyttää eri yleisöille kohdistamiseen ja/tai eri tarkoituksiin, kuten kehittämiseen, testaamiseen ja tuotantoon. Lisätietoja on ympäristöjen yleiskatsauksessa.

Tietojen ja verkon suojaaminen

  • Power Apps Älä Power Automate myöskään anna käyttäjille käyttöoikeutta tietoresursseihin, joihin heillä ei vielä ole käyttöoikeutta. Käyttäjillä on oltava käytettävissään vain ne tiedot, joihin he tarvitsevat käyttöoikeudet.
  • Verkon käyttöoikeuksien hallintakäytännöt voivat koskea myös Power Appsia ja Power Automatea. Ympäristön yksi käytäntö voi estää verkkoa käyttämästä sivustoa estämällä sisäänkirjaussivun yhteyksien luomisen Power Appsissa ja Power Automatessa.
  • Käyttöoikeutta hallitaan ympäristössä kolmella tavalla: ympäristön roolit, Power Appsin, Power Automaten jne. resurssien oikeudet ja Dataversen käyttöoikeusroolit (jos Dataverse-tietokanta on valmisteltu).
  • Kun Dataverse luodaan ympäristössä, roolit Dataverse siirtyvät ympäristön suojauksen hallintaan (ja kaikki ympäristön järjestelmänvalvojat ja tekijät siirretään).

Kukin roolityyppi tukee seuraavia objekteja.

Ympäristön tyyppi Role Objektityyppi (Microsoft Entra ID)
Ympäristö ilman Dataversea Ympäristön rooli Käyttäjä, ryhmä, vuokraaja
Resurssin oikeudet: kaaviosovellus Käyttäjä, ryhmä, vuokraaja
Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1 Käyttäjä, ryhmä
Ympäristö Dataversen kanssa Ympäristön rooli Käyttäjä
Resurssin oikeudet: kaaviosovellus Käyttäjä, ryhmä, vuokraaja
Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1 Käyttäjä, ryhmä
Dataverse-rooli (koskee kaikkia mallipohjaisia sovelluksia ja osia) User

1Vain tietyt yhteydet (kuten SQL) voidaan jakaa.

Muistiinpano

  • Oletusympäristössä kaikille vuokraajan käyttäjille myönnetään käyttöoikeus ympäristön tekijän rooliin.
  • Käyttäjillä, joilla on Järjestelmänvalvoja rooli, Power Platform on järjestelmänvalvojan käyttöoikeudet kaikkiin ympäristöihin.

FAQ - Mitä käyttöoikeuksia Microsoft Entra vuokraajatasolla on?

Microsoft Power Platformin järjestelmänvalvojilla on tällä hetkellä seuraavat mahdollisuudet:

  1. Power Appsin ja Power Automaten käyttöoikeusraportin lataaminen
  2. Luo DLP-käytäntö, joka on tarkoitettu kaikille ympäristöille, sisältämään tietyt ympäristöt tai sulkemaan tietyt ympäristöt pois.
  3. Käyttöoikeuksien hallinta ja delegoiminen Office-hallintakeskuksen kautta
  4. Voit käyttää kaikkia ympäristön, sovelluksen ja työnkulun hallintaominaisuuksia kaikissa vuokraajan ympäristöissä seuraavien avulla:
    • Power Apps-järjestelmänvalvojan PowerShell cmdlets -komennot
    • Power Appsin hallinnan yhdistimet
  5. Käytä Power Appsin ja Power Automaten järjestelmänvalvojan analyyseja kaikissa vuokraajan ympäristöissä:

Harkitse Microsoft Intunea

Asiakkaat, joilla on Microsoft Intune, voivat määrittää mobiilisovelluksen suojauskäytännöt sekä Power Apps Power Automate että sovelluksille ja Android iOS. Tässä opastuksessa kerrotaan käytännön määrittämisestä Power Automatelle Intunen avulla.

Harkitse sijaintiin perustuvan ehdollisen käyttöoikeuden käyttöä

Jos asiakkailla on käytössä Microsoft Entra ID P1 tai P2, ehdollisen käyttöoikeuden käytännöt voidaan määrittää Power Appsille ja Power Automatelle Azuressa. Tämä mahdollistaa käyttöoikeuden myöntämisen tai estämisen käyttäjän/ryhmän, laitteen ja sijainnin perusteella.

Ehdollisen käyttöoikeuden käytännön luominen

  1. Kirjaudu https://portal.azure.com.
  2. Valitse Ehdollinen käyttöoikeus.
  3. Valitse + Uusi käytäntö.
  4. Valitse valitut käyttäjät ja ryhmät.
  5. Valitse Kaikki pilvisovellukset>Kaikki pilvisovellukset>Common Data Service hallitaksesi asiakasvuorovaikutussovellusten käyttöoikeuksia.
  6. Ehtojen (käyttäjäriskien, laiteympäristöjen ja sijaintien) käyttö.
  7. Valitse Luo.

Tietovuotojen estäminen tietojen menetyksen estämiskäytäntöjen avulla

Tietojen menetyksen estämiskäytännöt (DLP)pakottavat säännöt, joiden yhdistimiä voidaan käyttää yhdessä luokittelemalla yhdistimet joko Vain yritystiedot tai Yritystietoja ei sallita. Jos siis yhdistin asetetaan Vain liiketoimintatiedot -ryhmälle, sitä voi käyttää vain yhdessä muiden saman sovelluksen ryhmän yhdistimien kanssa. Power Platform järjestelmänvalvojat voivat määrittää käytäntöjä, jotka koskevat kaikkia ympäristöjä.

Usein kysytyt kysymykset

K: Onko vuokraajatasolla mahdollista hallita, mikä yhdistin on käytettävissä esimerkiksi niin, että Dropbox tai Twitter eivät ole sallittuja mutta SharePoint on?

A: Tämä on mahdollista käyttämällä yhdistimien luokitusominaisuuksia ja delegoimalla estetty-luokitus vähintään yhdelle yhdistimelle, jota et halua käytettävän. Huomaa, että on olemassa yhdistinten joukko, jota ei voi estää.

K: Onko yhdistimien jakaminen käyttäjien kanssa mahdollista? Onko esimerkiksi Teamsin yhdistin yleiskäyttöinen ja jaettava?

V: Yhdistimet ovat kaikkien käyttäjien käytettävissä lukuun ottamatta premium-yhdistimiä tai mukautettuja yhdistimiä, jotka tarvitsevat joko toisen käyttöoikeuden (premium-yhdistimet) tai jotka on jaettava eksplisiittisesti (mukautetut yhdistimet)

Hälytys ja toiminto

Valvonnan lisäksi monet asiakkaat haluavat tilata ohjelmistojen luomis-, käyttö- tai terveystapahtumia, jotta he tietävät, milloin toiminto on suoritettava. Tässä osassa esitellään muutamia keinoja, joiden avulla voi tarkkailla tapahtumia (manuaalisesti ja ohjelmallisesti) sekä suorittaa tapahtumaesiintymän käynnistämiä toimintoja.

Luo Power Automate -työnkulkuja, jos haluat hälytyksen tärkeistä tarkistustapahtumista

  1. Esimerkki käyttöönotettavasta hälytyksestä on Microsoft 365:n tietoturvan ja vaatimustenmukaisuuden tarkistuslokien tilaaminen.
  2. Tämä voidaan tehdä käyttämällä joko webhook-tilausta tai kyselyä. Kun Power Automate liitetään näihin hälytyksiin, järjestelmänvalvojat saavat sähköpostihälytysten lisäksi muitakin tietoja.

Luo tarvittavat käytännöt Power Appsia, Power Automatea ja PowerShellia varten

  1. Nämä PowerShell cmdlet -komennot antavat hallinnan järjestelmänvalvojille. He voivat automatisoida hallintakäytäntöjä tarvittaessa.
  2. Hallintaliittimet tarjoavat samantasoisen hallinnan, mutta lisäävät laajennettavuutta ja helppokäyttöisyyttä käyttämällä Power Apps ja Power Automate.
  3. Seuraavia järjestelmänvalvojan yhdistimien Power Automate -malleja voi ottaa nopeasti käyttöön:
    1. Uusien Power Automate yhdistimien luettelo
    2. Hae luettelo uusista Power Apps, Power Automate työnkuluista ja yhdistimistä
    3. Lähetä minulle viikoittainen yhteenveto Viestikeskus ilmoituksista Office 365
    4. Käytä Office 365 suojaus- ja vaatimustenmukaisuuslokeja kohteesta Power Automate
  4. Tämän blogin ja sovellusmallin avulla voi lisätä nopeasti hallinnan yhdistämiä.
  5. Lisäksi kannattaa tutustua sisältöön, joka jaetaan yhteisön sovellusten galleriassa. Tässä on toinen esimerkki hallintakokemuksesta, jossa käytetään Power Appsia ja hallinnan yhdistimiä.

Usein kysytyt kysymykset

Ongelma Tällä hetkellä kaikki käyttäjät, joilla on Microsoft E3-käyttöoikeus, voivat luoda sovelluksia oletusympäristössä. Miten esimerkiksi ympäristön tekijäoikeudet voidaan ottaa käyttöön tietyssä ryhmässä. Kymmenen henkilöä luomaan sovelluksia?

Suositus PowerShellin cmdlet - ja hallintayhdistimet tarjoavat järjestelmänvalvojille täyden joustavuuden ja hallinnan, jotta he voivat luoda organisaatiolleen haluamiaan käytäntöjä.

Valvonta

On hyvin ymmärretty, että valvonta on kriittinen osa ohjelmistojen hallintaa suuressa mittakaavassa. Tässä osiossa korostetaan muutamia tapoja saada tietoa Power Apps kehityksestä Power Automate ja käytöstä.

Kirjausketjun tarkistaminen

Toimintojen kirjaaminen Power Apps on integroitu Officen tietoturva- ja yhteensopivuuskeskukseen, mikä mahdollistaa kattavan kirjaamisen eri Microsoft palveluissa, kuten Dataverse ja Microsoft 365. Office sisältää ohjelmointirajapinnan, joka tekee näistä tiedoista kyselyn. Useat SIEM-toimittajat käyttävät sitä parhaillaan aktiviteettien kirjaustiedoissa raportointia varten.

Tarkastele Power Appsin ja Power Automaten käyttöoikeusraporttia

  1. Siirry Power Platform -hallintakeskukseen.

  2. Valitse Analyysit>Power Automate tai Power Apps.

  3. Power Appsin ja Power Automaten järjestelmänvalvojan analyysien tarkasteleminen

    Voit saada tietoja seuraavista asioista:

    • Aktiivinen käyttäjä ja sovelluksen käyttö – kuinka monta käyttäjää sovelluksella on ja miten usein?
    • SIjainti - missä käyttö tapahtuu?
    • Yhdistimien palvelun suorituskyky
    • Virheiden raportointi - sovellukset, joissa tapahtuu eniten virheitä
    • Käytössä olevat työnkulut tyypin ja päivämäärän mukaan
    • Luodut työnkulut tyypin ja päivämäärän mukaan
    • Sovellustason seuranta
    • Palvelun kunto
    • Käytössä olevat yhdistimet

Käyttöluvan saaneiden käyttäjien tarkasteleminen

Voit tarkastella yksittäisiä käyttöoikeuksia Microsoft 365 -hallintakeskuksessa porautumalla tiettyihin käyttäjiin.

Voit viedä delegoituja käyttöoikeuksia myös seuraavan PowerShellin komennon avulla.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Vie kaikki vuokralaiselle määritetyt käyttöoikeudet (Power Apps ja Power Automate) taulukkomuotoiseen .csv-tiedostoon. Viety tiedosto sisältää sekä itsepalvelun kirjautumisen sisäiset kokeilusuunnitelmat että suunnitelmat, jotka ovat peräisin Microsoft Entra ID:stä. Sisäiset kokeilusuunnitelmat eivät näy Microsoft 365 -hallintakeskuksen järjestelmänvalvojille.

Vienti voi kestää jonkin aikaa niiden vuokraajien osalta, joilla on suuri määrä Power Platform -käyttäjiä.

Ympäristössä käytettävien sovellusresurssien tarkasteleminen

  1. Valitse Power Platform -hallintakeskuksessa ympäristöt siirtymisvalikossa.
  2. Valitse ympäristö.
  3. Vaihtoehtoisesti ympäristössä käytettyjen resurssien luettelo voidaan ladata .csv.

Katso myös

Käytä parhaita käytäntöjä ympäristöjen suojaamiseen ja hallintaan Power Automate
Microsoft Power Platform Huippuyksikön aloituspakkaus