Considérations de sécurité et de gouvernance
De nombreux clients se demandent comment Power Platform peut être mis à la disposition de leur entreprise au sens large et pris en charge par l’informatique ? La gouvernance est la réponse. Elle vise à autoriser les groupes d’entreprise à se concentrer sur résoudre vos problèmes commerciaux efficacement tout en se conformant au service informatique et aux niveaux de conformité de l’entreprise. Le contenu suivant est destiné à structurer les thèmes souvent associés aux logiciels de gouvernance, et à faire connaître les fonctionnalités disponibles pour chaque thème en ce qui concerne la gouvernance de Power Platform.
Thème | Questions courantes relatives à chaque thème auxquelles ce contenu répond |
---|---|
Architecture |
|
Sécurité |
|
Alerte et action |
|
Surveiller |
|
Architecture
Il est préférable de vous familiariser avec les environnements avant de générer la gouvernance adéquate pour votre entreprise. Les environnements sont les conteneurs de toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. Présentation des environnements est une bonne introduction, qui doit être suivie de Qu’est-ce que Dataverse ?, Types de Power Apps, Microsoft Power Automate, Connecteurs et local Passerelles.
Sécurité
Cette section présente les grandes lignes des mécanismes qui existent pour contrôler qui peut accéder à Power Apps dans un environnement et accéder aux données : licences, environnements, rôles de l’environnement, Microsoft Entra ID, stratégies de prévention contre la perte de données et connecteurs d’administration utilisables avec Power Automate.
Licences
L’accès à Power Apps et Power Automate commence par obtenir une licence. Le type de licence dont dispose un utilisateur détermine les actifs et les données auxquels il peut accéder. La tableau suivant décrit, d’un point de vue global, les différences entre les ressources disponibles pour un utilisateur en fonction de son type de plan. Les détails de licence granulaire se trouvent dans la Vue d’ensemble de licence.
Planifier | Description |
---|---|
Microsoft 365 inclus | Cela permet aux utilisateurs d’étendre SharePoint et à d’autres actifs Office qu’ils sont déjà. |
Dynamics 365 inclus | Cela permet aux utilisateurs de personnaliser et d’étendre les applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation), ils l’ont déjà fait. |
Plan Power Apps | Cela permet :
|
Communauté Power Apps | Cela permet à un utilisateur d’utiliser Power Apps, Power Automate, Dataverse et des connecteurs personnalisés dans un seul pour une utilisation individuelle. Il n’est pas possible de partager des applications. |
Power Automate gratuit | Cela permet aux utilisateurs de créer des flux illimités et d’effectuer 750 exécutions. |
Plan Power Automate | Voir le Guide des licences Microsoft Power Apps et Microsoft Power Automate. |
Environnements
Une fois que les utilisateurs ont des licences, les environnements existent en tant que conteneurs pour toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. Les environnements peuvent être utilisés pour cibler différents publics et/ou à des fins différentes telles que le développement, les tests et la production. Pour plus d’informations, voir Vue d’ensemble des environnements.
Sécuriser les données et réseau
- Power Apps et Power Automate ne fournissez pas aux utilisateurs l’accès à des ressources de données auxquelles ils n’ont pas déjà accès. Les utilisateurs doivent avoir accès uniquement aux données auxquelles ils ont réellement besoin d’accéder.
- Les stratégies de contrôle d’accès au réseau peuvent également s’appliquer à Power Apps et à Power Automate. Pour l’environnement, un utilisateur peut bloquer l’accès à un site d’un réseau en bloquant la page d’ouverture de session pour empêcher les connexions à ce site dans Power Apps et Power Automate.
- Dans un environnement, l’accès est contrôlé à trois niveaux : Rôles de l’environnement, Autorisations de ressources pour Power Apps, Power Automate etc., et Rôles de sécurité Dataverse (si une base de données Dataverse est provisionnée).
- Lorsque Dataverse est créé dans un environnement, les Dataverse rôles prennent le relais pour contrôler la sécurité dans le environnement (et tous les administrateurs et créateurs de environnement sont migrés).
Les principaux suivants sont pris en charge pour chaque type de rôle.
Type d’environnement | Role | Type de principal (Microsoft Entra ID) |
---|---|---|
Environnement sans Dataverse | Rôle de l’environnement | Utilisateur, groupe, client |
Autorisation de la ressource : Application canevas | Utilisateur, groupe, client | |
Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 | Utilisateurs, groupe | |
Environnement avec Dataverse | Rôle de l’environnement | User |
Autorisation de la ressource : Application canevas | Utilisateur, groupe, client | |
Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 | Utilisateurs, groupe | |
Rôle Dataverse (s’applique à toutes les applications pilotées par modèle et composants) | User |
1Seules certaines connexions (comme SQL) peuvent être partagées.
Note
- Dans l’environnement par défaut, tous les utilisateurs dans un client ont accès au rôle de Créateur d’environnement.
- Les utilisateurs avec le rôle Power Platform Administrateur ont un accès administrateur à tous les environnements.
FAQ - Quelles autorisations existent au niveau d’un locataire ? Microsoft Entra
Aujourd’hui, les administrateurs de Microsoft Power Platform peuvent effectuer les opérations suivantes :
- Télécharger le rapport de licence Power Apps et Power Automate
- Créer une stratégie DLP dont la portée s’applique uniquement à « Tous les environnements » ou pour inclure/exclure des environnements spécifiques
- Gérer et attribuer des licences via le centre d’administration Office
- Accédez à toutes les capacités de gestion des environnements, des applications et des flux pour tous les environnements du client via :
- des applets de commande PowerShell pour les administrateurs Power Apps
- des connecteurs de gestion Power Apps
- Accédez aux analyses d’administration de Power Apps et de Power Automate pour tous les environnements dans le client :
Pensez à Intune Microsoft
Les clients avec Intune peuvent définir des politiques de protection des applications mobiles pour les applications sur et. Microsoft Power Apps Power Automate Android iOS Ce guide pas-à-pas met en surbrillance la définition d’une stratégie via Intune pour Power Automate.
Envisager l’accès conditionnel géolocalisé
Pour les clients avec Microsoft Entra ID P1 ou P2, des stratégies d’accès conditionnel peuvent être définies dans Azure pour Power Apps et Power Automate. Cela permet d’accorder ou de bloquer l’accès selon : l’utilisateur/le groupe, l’appareil, l’emplacement.
Création d’une stratégie d’accès conditionnel
- Connectez-vous à https://portal.azure.com.
- Sélectionnez Accès conditionnel.
- Sélectionnez + Nouvelle stratégie.
- Sélectionner utilisateurs et groupes sélectionnés.
- Sélectionnez Toutes les applications du cloud>Toutes les applications du cloud>Common Data Service pour contrôler l’accès aux applications d’engagement client.
- Appliquez les conditions (risque utilisateur, plateformes d’appareil, emplacements).
- Sélectionnez Créer.
Empêcher la fuite de données avec des stratégies de protection contre la perte de données
Les politiques de données protection des pertes (DLP) appliquent des règles selon lesquelles les connecteurs peuvent être utilisés ensemble en classant les connecteurs comme Données d’entreprise uniquement ou Aucune donnée d’entreprise autorisée. En bref, si vous placez un connecteur dans le groupe de données d’entreprise uniquement, il peut être utilisé uniquement avec d’autres connecteurs de ce groupe dans la même application. Les administrateurs Power Platform peuvent définir des stratégies qui s’appliquent à tous les environnements.
FAQ
Q : Puis-je contrôler, au niveau du locataire, quel connecteur est disponible (par exemple Non pour Dropbox ou Twitter mais Oui pour SharePoint) ?
R : Cela est possible en utilisant les fonctionnalités de classification des connecteurs et l’attribution du classificateur Bloqué à un ou plusieurs connecteurs dont vous souhaitez empêcher l’utilisation. Notez qu’il existe un ensemble de connecteurs qui ne peuvent pas être bloqués.
Q : Qu’en est-il du partage des connecteurs entre utilisateurs ? Par exemple, le connecteur pour Teams est un connecteur général qui peut être partagé ?
R : Les connecteurs sont disponibles pour tous les utilisateurs, à l’exception des connecteurs premium ou personnalisés, qui nécessitent soit une autre licence (connecteurs premium), soit un partage explicite (connecteurs personnalisés).
Alerte et action
En plus de la surveillance, de nombreux clients souhaitent s’abonner à la création de logiciels, à l’utilisation ou aux événements de santé afin de savoir quand effectuer une action. Cette section présente les grandes lignes de quelques méthodes d’observation des événements (manuellement et par programme) et d’effectuer des actions déclenchées par une occurrence d’événements.
Créez des flux Power Automate pour alerter en cas d’événements d’audit clés
- Un exemple d’alerte qui peut être mis en œuvre consiste à s’abonner aux journaux d’audit de sécurité et conformité Microsoft 365.
- Cela peut être exécuté par un d’un abonnement à un webhook ou une approche par interrogation. Toutefois, en associant Power Automate à ces alertes, nous pouvons fournir aux administrateurs plus que des alertes par courrier électronique.
Générez des stratégies nécessaires avec Power Apps, Power Automate et PowerShell
- Ces applets de commande PowerShell donnent le contrôle total aux administrateurs pour automatiser les stratégies gouvernance nécessaires.
- Les connecteurs de gestion offrent le même niveau de contrôle mais avec une extensibilité et une facilité d’utilisation accrues grâce à l’utilisation de Power Apps et Power Automate.
- Les modèles Power Automate suivants pour les connecteurs d’administration existent pour créer rapidement :
- Utilisez ce modèle de blog et d’application pour pouvoir travailler rapidement sur les connecteurs d’administration.
- En outre, il est important de vérifier le contenu partagé dans la Galerie d’applications de la communauté. Voici un autre exemple d’une expérience administrative basée sur Power Apps et les connecteurs d’administration.
FAQ
Problème Actuellement, tous les utilisateurs avec Microsoft licences E3 peuvent créer des applications dans la version par défaut environnement. Comment pouvons-nous activer les droits de Créateur d’environnement sur un groupe sélectionné, par exemple. Dix personnes pour créer des applications ?
Recommandation Les applets de commande PowerShell et connecteurs de gestion offrent aux administrateurs une flexibilité et un contrôle complets pour créer les stratégies qu’ils souhaitent pour leur organisation.
Moniteur
Il est bien entendu que la surveillance est un aspect essentiel de la gestion des logiciels à grande échelle. Cette section met en évidence quelques moyens d’obtenir un aperçu du développement et de l’utilisation. Power Apps Power Automate
Examiner le journal d’audit
La journalisation des activités pour Power Apps est intégrée au centre de sécurité et de conformité Office pour une journalisation complète sur Microsoft des services tels que Dataverse et Microsoft 365. Office fournit une API pour interroger ces données, qui sont actuellement utilisées par de nombreux fournisseurs SIEM pour utiliser la journalisation d’activité à des fins de rapports.
Voir le rapport de licence Power Apps et Power Automate
Accédez au Centre d’administration de Power Platform.
Sélectionner Analyse>Power Automate ou Power Apps.
Afficher les analyses d’administration de Power Apps et de Power Automate
Vous pouvez obtenir des informations sur ce qui suit :
- Utilisateur actif ou utilisation d’application : nombre d’utilisateurs utilisant une application et à quelle fréquence ?
- Emplacement : où est l’utilisation ?
- Performances de service des connecteurs
- Rapports d’erreurs : quelles applications les plus soumises aux erreurs
- Flux en service par type et date
- Flux créés par type et date
- Audit au niveau de l’application
- Service Health
- Connecteurs utilisés
Voir quels utilisateurs ont une licence
Vous pouvez toujours consulter les licences d’utilisateurs individuels dans le centre d’administration Microsoft 365 en explorant des utilisateurs spécifiques.
Vous pouvez également utiliser la commande PowerShell suivante pour exporter les licences utilisateur attribuées.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exporte toutes les licences utilisateur attribuées (Power Apps et Power Automate) dans votre client dans un fichier .csv de vue tabulaire. Le fichier exporté contient à la fois des plans d’évaluation internes d’inscription en libre-service et des plans provenant de Microsoft Entra ID. Les plans d’évaluation internes ne sont pas visibles pour les administrateurs dans le centre d’administration Microsoft 365.
L’exportation peut prendre un certain temps pour les clients avec un grand nombre d’utilisateurs Power Platform.
Afficher les ressources d’application utilisées dans un environnement
- Dans le Centre d’administration Power Platform, sélectionnez Environnements dans le menu de navigation.
- Sélectionnez un environnement.
- En option, la liste des ressources utilisées dans un environnement peut être téléchargée au format .csv.
Voir aussi
Utiliser les meilleures pratiques pour sécuriser et gouverner les environnements Power Automate
Microsoft Power Platform Kit de démarrage du Centre d’excellence (CoE)