Considérations relatives à la sécurité et la gouvernance dans Power Platform
De nombreux clients se demandent comment Power Platform peut être mis à la disposition de leur entreprise au sens large et pris en charge par l’informatique ? La gouvernance est la réponse. Elle vise à autoriser les groupes d’entreprise à se concentrer sur résoudre vos problèmes commerciaux efficacement tout en se conformant au service informatique et aux niveaux de conformité de l’entreprise. Le contenu suivant est destiné à structurer les thèmes souvent associés aux logiciels de gouvernance, et à faire connaître les fonctionnalités disponibles pour chaque thème en ce qui concerne la gouvernance de Power Platform.
| Thème | Questions courantes relatives à chaque thème auxquelles ce contenu répond |
|---|---|
| Architecture |
|
| Sécurité |
|
| Alerte et action |
|
| Surveiller |
|
Architecture
Il est préférable de vous familiariser avec les environnements avant de générer la gouvernance adéquate pour votre entreprise. Les environnements sont les conteneurs de toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. Vue d’ensemble des environnements est une bonne introduction, qui devrait être suivie de Qu’est-ce que Dataverse ?, Types de Power Apps, Microsoft Power Automate, Connecteurs et Passerelles locales.
Sécurité
Cette section présente les grandes lignes des mécanismes qui existent pour contrôler qui peut accéder à Power Apps dans un environnement et accéder aux données : licences, environnements, rôles de l’environnement, Microsoft Entra ID, stratégies de prévention contre la perte de données et connecteurs d’administration utilisables avec Power Automate.
Licences
L’accès à Power Apps et Power Automate commence par obtenir une licence. Le type de licence dont dispose un utilisateur détermine les actifs et les données auxquels il peut accéder. La tableau suivant décrit, d’un point de vue global, les différences entre les ressources disponibles pour un utilisateur en fonction de son type de plan. Les détails de licence granulaire se trouvent dans la Vue d’ensemble de licence.
| Planifier | Description |
|---|---|
| Microsoft 365 inclus | Cela permet aux utilisateurs d’étendre SharePoint et à d’autres actifs Office qu’ils sont déjà. |
| Dynamics 365 inclus | Cela permet aux utilisateurs de personnaliser et d’étendre les applications d’engagement client (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing et Dynamics 365 Project Service Automation), ils l’ont déjà fait. |
| Plan Power Apps | Cela permet :
|
| Communauté Power Apps | Cela permet à un utilisateur d’utiliser Power Apps, Power Automate, Dataverse et les connecteurs personnalisés dans un emplacement unique pour une utilisation individuelle. Il n’est pas possible de partager des applications. |
| Power Automate gratuit | Cela permet aux utilisateurs de créer des flux illimités et d’effectuer 750 exécutions. |
| Plan Power Automate | Voir le Guide des licences Microsoft Power Apps et Microsoft Power Automate. |
Environnements
Une fois que les utilisateurs ont des licences, les environnements existent en tant que conteneurs pour toutes les ressources utilisées par Power Apps, Power Automate et Dataverse. Les environnements peuvent être utilisés pour cibler diverses audiences et/ou à différentes fins comme le développement, le test et la production. Pour plus d’informations, voir Vue d’ensemble des environnements.
Sécuriser les données et réseau
- Power Apps et Power Automate ne fournissent pas aux utilisateurs l’accès aux actifs de données auxquels ils n’ont pas déjà accès. Les utilisateurs doivent avoir accès uniquement aux données auxquelles ils ont réellement besoin d’accéder.
- Les stratégies de contrôle d’accès au réseau peuvent également s’appliquer à Power Apps et à Power Automate. Pour l’environnement, un utilisateur peut bloquer l’accès à un site d’un réseau en bloquant la page d’ouverture de session pour empêcher les connexions à ce site dans Power Apps et Power Automate.
- Dans un environnement, l’accès est contrôlé à trois niveaux : Rôles de l’environnement, Autorisations de ressources pour Power Apps, Power Automate etc., et Rôles de sécurité Dataverse (si une base de données Dataverse est provisionnée).
- Lorsque Dataverse est créé dans un environnement, les rôles Dataverse assument le contrôle de la sécurité dans l’environnement (et tous les administrateurs et créateurs d’environnement sont migrés).
Les principaux suivants sont pris en charge pour chaque type de rôle.
| Type d’environnement | Role | Type de principal (Microsoft Entra ID) |
|---|---|---|
| Environnement sans Dataverse | Rôle de l’environnement | Utilisateur, groupe, client |
| Autorisation de la ressource : Application canevas | Utilisateur, groupe, client | |
| Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 | Utilisateurs, groupe | |
| Environnement avec Dataverse | Rôle de l’environnement | User |
| Autorisation de la ressource : Application canevas | Utilisateur, groupe, client | |
| Autorisation de la ressource : Power Automate, connecteur personnalisé, passerelles, connexions1 | Utilisateurs, groupe | |
| Rôle Dataverse (s’applique à toutes les applications pilotées par modèle et composants) | User |
1Seules certaines connexions (comme SQL) peuvent être partagées.
Note
- Dans l’environnement par défaut, tous les utilisateurs dans un client ont accès au rôle de Créateur d’environnement.
- Les utilisateurs disposant du rôle Administrateur Power Platform ont un accès d’administrateur à tous les environnements.
FAQ - Quelles autorisations existent au niveau du client Microsoft Entra ?
Aujourd’hui, les administrateurs de Microsoft Power Platform peuvent effectuer les opérations suivantes :
- Télécharger le rapport de licence Power Apps et Power Automate
- Créer une stratégie DLP dont la portée s’applique uniquement à « Tous les environnements » ou pour inclure/exclure des environnements spécifiques
- Gérer et attribuer des licences via le centre d’administration Office
- Accédez à toutes les capacités de gestion des environnements, des applications et des flux pour tous les environnements du client via :
- des applets de commande PowerShell pour les administrateurs Power Apps
- des connecteurs de gestion Power Apps
- Accédez aux analyses d’administration de Power Apps et de Power Automate pour tous les environnements dans le client :
Envisager Microsoft Intune
Les clients avec Microsoft Intune peuvent définir des stratégies de protection d’application mobile pour les applications Power Apps et Power Automate sous Android et iOS. Ce guide pas-à-pas met en surbrillance la définition d’une stratégie via Intune pour Power Automate.
Envisager l’accès conditionnel géolocalisé
Pour les clients avec Microsoft Entra ID P1 ou P2, des stratégies d’accès conditionnel peuvent être définies dans Azure pour Power Apps et Power Automate. Cela permet d’accorder ou de bloquer l’accès selon : l’utilisateur/le groupe, l’appareil, l’emplacement.
Création d’une stratégie d’accès conditionnel
- Connectez-vous à https://portal.azure.com.
- Sélectionnez Accès conditionnel.
- Sélectionnez + Nouvelle stratégie.
- Sélectionnez Utilisateurs et groupes sélectionnés.
- Sélectionnez Toutes les applications du cloud>Toutes les applications du cloud>Common Data Service pour contrôler l’accès aux applications d’engagement client.
- Appliquez les conditions (risque utilisateur, plateformes d’appareil, emplacements).
- Sélectionnez Créer.
Empêcher la fuite de données avec des stratégies de protection contre la perte de données
Les stratégies de protection contre la perte de données (DLP) appliquent les règles d’utilisation des connecteurs en classant les connecteurs comme données d’entreprise uniquement ou aucune donnée d’entreprise autorisée. En bref, si vous placez un connecteur dans le groupe de données d’entreprise uniquement, il peut être utilisé uniquement avec d’autres connecteurs de ce groupe dans la même application. Les administrateurs Power Platform peuvent définir des stratégies qui s’appliquent à tous les environnements.
FAQ
Q : Puis-je contrôler, au niveau du locataire, quel connecteur est disponible (par exemple Non pour Dropbox ou Twitter mais Oui pour SharePoint) ?
R : Cela est possible en utilisant les fonctionnalités de classification des connecteurs et l’attribution du classificateur Bloqué à un ou plusieurs connecteurs dont vous souhaitez empêcher l’utilisation. Il existe un ensemble de connecteurs qui ne peuvent pas être bloqués.
Q : Qu’en est-il du partage des connecteurs entre utilisateurs ? Par exemple, le connecteur pour Teams est un connecteur général qui peut être partagé ?
R : Les connecteurs sont disponibles pour tous les utilisateurs à l’exception des connecteurs premium ou personnalisés, qui nécessitent une autre licence (connecteurs premium) ou qui doivent être partagés explicitement (connecteurs personnalisés)
Alerte et action
Outre la surveillance, un grand nombre de clients souhaitent s’abonner aux événements de création, d’utilisation ou d’état de logiciels pour savoir quand exécuter une action. Cette section présente les grandes lignes de quelques méthodes d’observation des événements (manuellement et par programme) et d’effectuer des actions déclenchées par une occurrence d’événements.
Créez des flux Power Automate pour alerter en cas d’événements d’audit clés
- Un exemple d’alerte qui peut être mis en œuvre consiste à s’abonner aux journaux d’audit de sécurité et conformité Microsoft 365.
- Cela peut être exécuté par un d’un abonnement à un webhook ou une approche par interrogation. Toutefois, en associant Power Automate à ces alertes, nous pouvons fournir aux administrateurs plus que des alertes par courrier électronique.
Générez des stratégies nécessaires avec Power Apps, Power Automate et PowerShell
- Ces applets de commande PowerShell donnent le contrôle total aux administrateurs pour automatiser les stratégies gouvernance nécessaires.
- Les connecteurs Power Platform for Admins V2 (version préliminaire) et de Gestion de Power Automate fournissent le même niveau de contrôle mais avec une extensibilité et une facilité d’utilisation accrues en utilisant Power Apps et Power Automate.
- Examinez les Meilleures pratiques d’administration et de gouvernance de Power Platform et envisagez de configurer le Starter Kit du centre d’excellence (CoE).
- Utilisez ce modèle de blog et d’application pour pouvoir travailler rapidement sur les connecteurs d’administration.
- En outre, il est important de vérifier le contenu partagé dans la Galerie d’applications de la communauté. Voici un autre exemple d’une expérience administrative basée sur Power Apps et les connecteurs d’administration.
FAQ
Problème Actuellement, tous les utilisateurs disposant de licences Microsoft E3 peuvent créer des applications dans l’environnement par défaut. Comment pouvons-nous activer les droits de Créateur d’environnement sur un groupe sélectionné, par exemple. Dix personnes pour créer des applications ?
Recommandation
Les Applets de commande PowerShell et les Connecteurs de gestion offrent une flexibilité et un contrôle total aux administrateurs pour créer les stratégies souhaitées pour leur organisation.
Moniteur
Il est bien connu que la surveillance est un aspect essentiel de la gestion des logiciels à grande échelle. Cette section met en évidence quelques méthodes pour obtenir des informations sur le développement et l’utilisation de Power Apps et Power Automate.
Examiner le journal d’audit
La Journalisation d'activité pour Power Apps est intégrée au Centre de sécurité et de conformité d'Office pour une journalisation complète de plusieurs services Microsoft, tels que Dataverse et Microsoft 365. Office fournit une API pour interroger ces données, qui sont actuellement utilisées par de nombreux fournisseurs SIEM pour utiliser la journalisation d’activité à des fins de rapports.
Voir le rapport de licence Power Apps et Power Automate
Accédez au Centre d’administration de Power Platform.
Sélectionner Analyse>Power Automate ou Power Apps.
Afficher les analyses d’administration de Power Apps et de Power Automate
Vous pouvez obtenir des informations sur ce qui suit :
- Utilisateur actif ou utilisation d’application : nombre d’utilisateurs utilisant une application et à quelle fréquence ?
- Emplacement : où est l’utilisation ?
- Performances de service des connecteurs
- Rapports d’erreurs : quelles applications les plus soumises aux erreurs
- Flux en service par type et date
- Flux créés par type et date
- Audit au niveau de l’application
- Service Health
- Connecteurs utilisés
Voir quels utilisateurs ont une licence
Vous pouvez toujours consulter les licences d’utilisateurs individuels dans le centre d’administration Microsoft 365 en explorant des utilisateurs spécifiques.
Vous pouvez également utiliser la commande PowerShell suivante pour exporter les licences utilisateur attribuées.
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
Exporte toutes les licences utilisateur attribuées (Power Apps et Power Automate) dans votre client dans un fichier .csv de vue tabulaire. Le fichier exporté contient à la fois des plans d’évaluation internes d’inscription en libre-service et des plans provenant de Microsoft Entra ID. Les plans d’évaluation internes ne sont pas visibles pour les administrateurs dans le centre d’administration Microsoft 365.
L’exportation peut prendre un certain temps pour les clients avec un grand nombre d’utilisateurs Power Platform.
Afficher les ressources d’application utilisées dans un environnement
- Dans le Centre d’administration Power Platform, sélectionnez Environnements dans le menu de navigation.
- Sélectionnez un environnement.
- Éventuellement, la liste de ressources utilisées dans un environnement peut être téléchargée en tant que fichier .csv.