Power Platformin suojauksen ja hallinnon näkökohtia

Monet asiakkaat miettivät, miten Power Platform voidaan ottaa laajemmin käyttöön liiketoiminnassa ja miten sitä tuetaan IT:ssä? Vastaus on hallinnointi. Sen tavoitteena on antaa liiketoimintaryhmille mahdollisuus ratkaista liiketoiminnan ongelmia tehokkaasti samalla, kun noudatetaan IT:n ja liiketoiminnan vaatimustenmukaisuuden standardeja. Seuraavan sisällön tarkoituksena on jäsentää teemoja, jotka usein liittyvät hallintaohjelmistoihin ja tuoda tietoisuutta kunkin teeman käytettävissä olevista ominaisuuksista, jotka liittyvät Power Platformin hallintaan.

Teema	Yleisiä kysymyksiä, jotka liittyvät kuhunkin tämän sisällön käsittelemään teemaan
Arkkitehtuuri	Mitkä ovat Power Appsin, Power Automaten ja Microsoft Dataversen perusrakenteet ja -käsitteet? Miten nämä rakenteet sopivat yhteen suunnittelun ja suorituksen aikana?
Suojaus	Mitkä ovat tietoturvan suunnitteluun liittyvät parhaat käytännöt? Miten voin hyödyntää nykyisiä käyttäjien ja ryhmien hallintaratkaisuja Power Appsin käyttöoikeuksien ja käyttöoikeusroolien hallinnassa?
Hälytys ja toiminto	Miten määritän hallintomallin kehittäjien ja hallinnoitujen IT-palveluiden välille? Miten määritän hallintomallin keskitetyn IT:n ja liiketoimintayksiköiden järjestelmänvalvojien välille? Miten saan tukea organisaation muille kuin oletusympäristöille?
Seuraa	Miten vaatimustenmukaisuus- ja seurantatietoja siepataan? Miten voin mitata käyttöönottoa ja käyttöä omassa organisaatiossani?

Arkkitehtuuri

Ensimmäiseksi kannattaa tutustua ympäristöihin, jotta yritykselle voidaan luoda oikea hallintotapa. Ympäristöt ovat kaikkien Power Apps-, Power Automate- ja Dataverse-resursseja käyttävien resurssien säilöjä. Ympäristöjen yleiskatsaus on hyvä aloituskohta, jonka jälkeen kannattaa siirtyä seuraaviin: Mikä on Dataverse?, Power Apps -tyypit, Microsoft Power Automate, Yhdistimet ja Paikalliset yhdyskäytävät.

Suojaus

Tässä osassa esitellään mekanismit, joiden avulla voi hallinnoida Power Appsin käyttöä ympäristössä ja käyttää tietoja, kuten käyttöoikeuksia, ympäristöjä, ympäristön rooleja, Microsoft Entra ID:tä, tietojen menetyksen estämisen käytäntöjä ja järjestelmänvalvojan yhdistimiä, joita voi käyttää Power Automaten kanssa.

Käyttöoikeudet

Power Appsin ja Power Automaten käyttöön tarvitaan käyttöoikeus. Käyttäjällä olevan käyttöoikeuden tyyppi määrittää resurssit ja tiedot, joita käyttäjä voi käyttää. Seuraavassa taulukossa esitellään niiden resurssien erot, jotka ovat käyttäjän käytettävissä palvelupaketin tyypin mukaan ylhäältä alaspäin. Käyttöoikeuksien tarkemmat tiedot löytyvät käyttöoikeuksien yleiskatsauksesta.

Suunnittelu	Kuvaus
Microsoft 365 sisältyy	Tämän ansiosta käyttäjät voivat laajentaa SharePointin ja muut Office-resurssit, jotka heillä on jo käytössä.
Dynamics 365 sisältyy	Näin käyttäjät voivat mukauttaa ja laajentaa asiakkaan aktivointisovelluksia (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation), jotka heillä jo on.
Power Apps-palvelupaketti	Tämän avulla voi muodostaa yrityksen yhdistimiä ja Dataverse -palvelun käyttöä varten käyttäjät voivat käyttää tehokasta liiketoimintalogiikkaa kaikissa sovellustyypeissä ja hallintaominaisuuksissa.
Power Apps -yhteisö	Näin käyttäjä voi käyttää Power Appsia, Power Automatea, Dataversea ja mukautettuja yhdistimiä yhdessä henkilökohtaista käyttöä varten. Sovellusten jakaminen ei ole mahdollista.
Power Automate - ilmainen	Tällä tavoin käyttäjät voivat luoda työnkulkuja rajoittamattoman määrän ja suorittaa niitä 750 kertaa.
Power Automate-palvelupaketti	Lisätietoja on Microsoft Power Appsin ja Microsoft Power Automaten käyttöoikeusoppaassa.

Ympäristöt

Kun käyttäjillä on käyttöoikeudet, ympäristöt ovat käytettävissä kaikkien Power Apps-, Power Automate- ja Dataverse-resurssien käyttäminä säilöinä. Ympäristöjä voidaan käyttää eri kohderyhmien kohdentamiseen ja/tai erilaisiin tarkoituksiin, kuten kehittämiseen, testaukseen ja tuotantoon. Lisätietoja on ympäristöjen yleiskatsauksessa.

Tietojen ja verkon suojaaminen

• Power Apps ja Power Automate eivät tarjoa käyttäjille sellaisten resurssien käyttöoikeutta, jota käyttäjät eivät jo aiemmin ole voineet käyttää. Käyttäjillä on oltava käytettävissään vain ne tiedot, joihin he tarvitsevat käyttöoikeudet.
• Verkon käyttöoikeuksien hallintakäytännöt voivat koskea myös Power Appsia ja Power Automatea. Ympäristön yksi käytäntö voi estää verkkoa käyttämästä sivustoa estämällä sisäänkirjaussivun yhteyksien luomisen Power Appsissa ja Power Automatessa.
• Käyttöoikeutta hallitaan ympäristössä kolmella tavalla: ympäristön roolit, Power Appsin, Power Automaten jne. resurssien oikeudet ja Dataversen käyttöoikeusroolit (jos Dataverse-tietokanta on valmisteltu).
• Kun Dataverse luodaan ympäristössä, Dataverse-roolit alkavat hallita ympäristön suojausta (ja kaikki ympäristön järjestelmänvalvojat ja tekijät siirretään).

Kukin roolityyppi tukee seuraavia objekteja.

Ympäristön tyyppi	Role	Objektityyppi (Microsoft Entra ID)
Ympäristö ilman Dataversea	Ympäristön rooli	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: kaaviosovellus	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1	Käyttäjä, ryhmä
Ympäristö Dataversen kanssa	Ympäristön rooli	Käyttäjä
	Resurssin oikeudet: kaaviosovellus	Käyttäjä, ryhmä, vuokraaja
	Resurssin oikeudet: Power Automate, mukautettu yhdistin, yhdyskäytävät, yhteydet1	Käyttäjä, ryhmä
	Dataverse-rooli (koskee kaikkia mallipohjaisia sovelluksia ja osia)	User

¹Vain tietyt yhteydet (kuten SQL) voidaan jakaa.

Muistiinpano

• Oletusympäristössä kaikille vuokraajan käyttäjille myönnetään käyttöoikeus ympäristön tekijän rooliin.
• Power Platform -järjestelmänvalvojilla on kaikkien ympäristöjen järjestelmänvalvojan käyttöoikeus.

Usein kysytyt kysymykset – Mitä oikeuksia Microsoft Entra -vuokraajan tasolla on?

Microsoft Power Platformin järjestelmänvalvojilla on tällä hetkellä seuraavat mahdollisuudet:

1. Power Appsin ja Power Automaten käyttöoikeusraportin lataaminen
2. Luo DLP-käytäntö, joka on tarkoitettu kaikille ympäristöille, sisältämään tietyt ympäristöt tai sulkemaan tietyt ympäristöt pois.
3. Käyttöoikeuksien hallinta ja delegoiminen Office-hallintakeskuksen kautta
4. Voit käyttää kaikkia ympäristön, sovelluksen ja työnkulun hallintaominaisuuksia kaikissa vuokraajan ympäristöissä seuraavien avulla:
   • Power Apps-järjestelmänvalvojan PowerShell cmdlets -komennot
   • Power Appsin hallinnan yhdistimet
5. Käytä Power Appsin ja Power Automaten järjestelmänvalvojan analyyseja kaikissa vuokraajan ympäristöissä:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Harkitse Microsoft Intunen käyttöä

Asiakkaat, joilla on käytössä Microsoft Intune, voivat määrittää mobiilisovelluksen tietoturvakäytännöt sekä Power Apps- että Power Automate -sovelluksille Android- ja iOS-käyttöjärjestelmissä. Tässä opastuksessa kerrotaan käytännön määrittämisestä Power Automatelle Intunen avulla.

Harkitse sijaintiin perustuvan ehdollisen käyttöoikeuden käyttöä

Jos asiakkailla on käytössä Microsoft Entra ID P1 tai P2, ehdollisen käyttöoikeuden käytännöt voidaan määrittää Power Appsille ja Power Automatelle Azuressa. Tämä mahdollistaa käyttöoikeuden myöntämisen tai estämisen käyttäjän/ryhmän, laitteen ja sijainnin perusteella.

Ehdollisen käyttöoikeuden käytännön luominen

1. Kirjaudu https://portal.azure.com.
2. Valitse Ehdollinen käyttöoikeus.
3. Valitse + Uusi käytäntö.
4. Valitse valitut käyttäjät ja ryhmät.
5. Valitse Kaikki pilvisovellukset>Kaikki pilvisovellukset>Common Data Service hallitaksesi asiakasvuorovaikutussovellusten käyttöoikeuksia.
6. Ehtojen (käyttäjäriskien, laiteympäristöjen ja sijaintien) käyttö.
7. Valitse Luo.

Tietovuotojen estäminen tietojen menetyksen estämiskäytäntöjen avulla

Tietovuotojen estämiskäytännöt (DLP) käyttävät sääntöjä, joissa voi käyttää yhdistimiä yhdessä ja luokitella yhdistimet joko Vain liiketoimintatiedot- tai Liiketoimintatiedot eivät sallittuja -merkinnällä. Jos siis yhdistin asetetaan Vain liiketoimintatiedot -ryhmälle, sitä voi käyttää vain yhdessä muiden saman sovelluksen ryhmän yhdistimien kanssa. Power Platform järjestelmänvalvojat voivat määrittää käytäntöjä, jotka koskevat kaikkia ympäristöjä.

Usein kysytyt kysymykset

K: Onko vuokraajatasolla mahdollista hallita, mikä yhdistin on käytettävissä esimerkiksi niin, että Dropbox tai Twitter eivät ole sallittuja mutta SharePoint on?

A: Tämä on mahdollista käyttämällä yhdistimien luokitusominaisuuksia ja delegoimalla estetty-luokitus vähintään yhdelle yhdistimelle, jota et halua käytettävän. On olemassa yhdistinten joukko, jota ei voi estää.

K: Onko yhdistimien jakaminen käyttäjien kanssa mahdollista? Onko esimerkiksi Teamsin yhdistin yleiskäyttöinen ja jaettava?

A: Yhdistimet ovat kaikkien käyttäjien käytettävissä. Tämä ei kuitenkaan koske Premium-yhdistimiä ja mukautettuja yhdistimiä, jotka edellyttävät lisäkäyttöoikeuden (Premium-yhdistimet) tai jotka on jaettava erikseen (mukautetut yhdistimet)

Hälytys ja toiminto

Seurannan lisäksi useat asiakkaat haluavat tilata ohjelmiston luonnin, käytön tai tilan tapahtumat, jotta he tietävät, milloin toimintoja voi suorittaa. Tässä osassa esitellään muutamia keinoja, joiden avulla voi tarkkailla tapahtumia (manuaalisesti ja ohjelmallisesti) sekä suorittaa tapahtumaesiintymän käynnistämiä toimintoja.

Luo Power Automate -työnkulkuja, jos haluat hälytyksen tärkeistä tarkistustapahtumista

1. Esimerkki käyttöönotettavasta hälytyksestä on Microsoft 365:n tietoturvan ja vaatimustenmukaisuuden tarkistuslokien tilaaminen.
2. Tämä voidaan tehdä käyttämällä joko webhook-tilausta tai kyselyä. Kun Power Automate liitetään näihin hälytyksiin, järjestelmänvalvojat saavat sähköpostihälytysten lisäksi muitakin tietoja.

Luo tarvittavat käytännöt Power Appsia, Power Automatea ja PowerShellia varten

1. Nämä PowerShell cmdlet -komennot antavat hallinnan järjestelmänvalvojille. He voivat automatisoida hallintakäytäntöjä tarvittaessa.
2. Power Platform for Admins V2 (esiversio)- ja Power Automate -hallinta -yhdistimet tarjoavat saman hallinnan tason, mutta niitä voi laajentaa enemmän. Niitä on helppo käyttää, koska ne hyödyntävät Power Appsia ja Power Automatea.
3. Tutustu järjestelmänvalvojan ja hallinnon parhaisiin Power Platform käytäntöihin ja harkitse osaamiskeskuksen (CoE) aloituspaketin määrittämistä.
4. Tämän blogin ja sovellusmallin avulla voi lisätä nopeasti hallinnan yhdistämiä.
5. Lisäksi kannattaa tutustua sisältöön, joka jaetaan yhteisön sovellusten galleriassa. Tässä on toinen esimerkki hallintakokemuksesta, jossa käytetään Power Appsia ja hallinnan yhdistimiä.

Usein kysytyt kysymykset

Ongelma Tällä hetkellä kaikki käyttäjät, joilla on Microsoft E3 -lisenssejä, voivat luoda sovelluksia oletusympäristössä. Miten esimerkiksi ympäristön tekijäoikeudet voidaan ottaa käyttöön tietyssä ryhmässä. Kymmenen sovelluksia luovaa henkilöä?

Suositus

PowerShellin cmdlets-komennot ja hallinnan yhdistimet antavat järjestelmänvalvojille täydet mahdollisuudet muodostaa käytäntöjä, jotka he haluavat organisaatiolleen.

Valvonta

On hyvin ymmärretty, että valvonta on kriittinen osa ohjelmistojen hallintaa suuressa mittakaavassa. Tässä osiossa korostetaan muutamia tapoja saada näkemyksiä Power Appsin ja Power Automaten kehityksestä ja käytöstä.

Kirjausketjun tarkistaminen

Power Appsin aktiviteettien kirjaaminen on integroitu Officen tietoturvan ja vaatimustenmukaisuuden keskuksen kanssa, jotta Microsoftin palveluiden, kuten Dataversen ja Microsoft 365:n, kirjaaminen on yhdenmukaista kaikkialla. Office sisältää ohjelmointirajapinnan, joka tekee näistä tiedoista kyselyn. Useat SIEM-toimittajat käyttävät sitä parhaillaan aktiviteettien kirjaustiedoissa raportointia varten.

Tarkastele Power Appsin ja Power Automaten käyttöoikeusraporttia

1. Siirry Power Platform -hallintakeskukseen.

2. Valitse Analyysit>Power Automate tai Power Apps.

3. Power Appsin ja Power Automaten järjestelmänvalvojan analyysien tarkasteleminen

   Voit saada tietoja seuraavista asioista:

   • Aktiivinen käyttäjä ja sovelluksen käyttö – kuinka monta käyttäjää sovelluksella on ja miten usein?
   • SIjainti - missä käyttö tapahtuu?
   • Yhdistimien palvelun suorituskyky
   • Virheiden raportointi - sovellukset, joissa tapahtuu eniten virheitä
   • Käytössä olevat työnkulut tyypin ja päivämäärän mukaan
   • Luodut työnkulut tyypin ja päivämäärän mukaan
   • Sovellustason seuranta
   • Palvelun kunto
   • Käytössä olevat yhdistimet

Käyttöluvan saaneiden käyttäjien tarkasteleminen

Voit tarkastella yksittäisiä käyttöoikeuksia Microsoft 365 -hallintakeskuksessa porautumalla tiettyihin käyttäjiin.

Voit viedä delegoituja käyttöoikeuksia myös seuraavan PowerShellin komennon avulla.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Vie kaikki vuokralaiselle määritetyt käyttöoikeudet (Power Apps ja Power Automate) taulukkomuotoiseen .csv-tiedostoon. Viety tiedosto sisältää sekä itsepalvelun kirjautumisen sisäiset kokeilusuunnitelmat että suunnitelmat, jotka ovat peräisin Microsoft Entra ID:stä. Sisäiset kokeilusuunnitelmat eivät näy Microsoft 365 -hallintakeskuksen järjestelmänvalvojille.

Vienti voi kestää jonkin aikaa niiden vuokraajien osalta, joilla on suuri määrä Power Platform -käyttäjiä.

Ympäristössä käytettävien sovellusresurssien tarkasteleminen

1. Valitse Power Platform -hallintakeskuksessa ympäristöt siirtymisvalikossa.
2. Valitse ympäristö.
3. Vaihtoehtoisesti ympäristössä käytettävien resurssien luettelo voidaan ladata. csv-tiedostona.

Liittyvät tiedot

• Power Automate ‑ympäristöjen suojaaminen ja hallinta parhaiden käytäntöjen avulla
  
• Microsoft Power Platform Center of Excellence (CoE) -aloituspaketti