Zagadnienia dotyczące zabezpieczeń i nadzoru w Power Platform

Wielu klientów zastanawia się, w jaki sposób usługa Power Platform może być udostępniona ich szerszej firmie i obsługiwana przez dział IT? Odpowiedzią jest nadzór. Umożliwia on grupom biznesowym skoncentrowanie się na efektywnym rozwiązywaniu problemów biznesowych, przestrzegając przy tym odnośnych standardów informatycznych i biznesowych. Następująca treść ma na celu zaadeksowania motywów często związanych z programem i zwiększaniem świadomości w możliwościach dostępnych dla każdego motywu, którego dotyczy relacja z programem Power Platform.

Motyw	Typowe pytania związane z każdą dziedziną, dla które ta zawartość odpowiada
Architektura	Jakie są podstawowe konstrukcje i koncepcje wykorzystywane w usługach Power Apps, Power Automate i Microsoft Dataverse? Jak te konstrukcje z sobą współpracują w czasie projektowania i wykonywania?
Zabezpieczenia	Jakie są najlepsze praktyki w kwestii projektowania zabezpieczeń? Jak wykorzystywać istniejące rozwiązania zarządzania użytkownikami i grupami do zarządzania dostępem i rolami zabezpieczeń w usłudze Power Apps?
Alerty i akcje	Jak zdefiniować model nadzoru między programistami obywatelskimi a zarządzanymi usługami IT? Jak zdefiniować model nadzoru między centralnym działem IT a administratorami w jednostkach biznesowych? Jak podejść do kwestii obsługi środowisk innych niż domyślne w organizacji?
Monitorowanie	Jak są rejestrowane informacje o zgodności/dane z inspekcji? Jak zmierzyć postępy wdrażania i wykorzystywania w organizacji?

Architektura

Budowanie optymalnej struktury nadzoru w firmie najlepiej zacząć od zaznajomienia się ze Środowiskami. Środowiska to kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Omówienie środowisk stanowi dobry wstęp, po którym można zapoznać się z Co to jest usługa Dataverse?, Typy Power Apps, Microsoft Power Automate , Łączniki i Lokalne bramy danych.

Zabezpieczenia

W tej sekcji przedstawiono mechanizmy, które istnieją w celu kontrolowania, kto może uzyskać dostęp do Power Apps w środowisku i uzyskać dostęp do danych: licencje, środowiska, role środowiskowe, identyfikator Microsoft Entra ID, zasady Data Loss Prevention i łączniki administracyjne, które mogą być używane z Power Automate.

Licencjonowanie

Dostęp do aplikacji Power Apps i Power Automate zaczyna się od uzyskania licencji. Typ licencji, do których użytkownik ma dostęp, określa zasoby i dane, do których ma dostęp. W poniższej tabeli przedstawiono różnice w zasobach dostępnych dla użytkownika na podstawie posiadanego typu planu, na poziomie ogólnym. Szczegółowe informacje o licencjach można znaleźć w temacie Omówienie licencjonowania.

Planowanie	Opis
Pakiet usługi Microsoft 365	Pozwala użytkownikom rozszerzać funkcjonalność programu SharePoint i innych zasobów pakietu Office, które już posiadają.
Pakiet usługi Dynamics 365	Dzięki temu użytkownicy mogą dostosowywać i rozszerzać aplikacje dotyczące zaangażowania klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation), które już istnieją.
Plan usługi Power Apps	Pozwala: udostępniać firmowe łączniki i usługę Dataverse użytkownikom. użytkownikom korzystać z zaawansowanej logiki biznesowej między różnymi typami aplikacji i funkcjami administracyjnymi.
Społeczność użytkowników rozwiązania Power Apps	Pozwala użytkownikowi wykorzystywać usługi Power Apps, Power Automate i Dataverse oraz łączniki niestandardowe do własnych potrzeb. Nie ma możliwości udostępniania aplikacji.
Bezpłatna usługa Power Automate	Dzięki temu użytkownicy mogą tworzyć nieograniczoną liczbę przepływów i wykonać 750 uruchomionych przepływów.
Plan usługi Power Automate	Zobacz Przewodnik licencjonowania usług Microsoft Power Apps i Microsoft Power Automate.

Środowiska

Po uzyskaniu licencji przez użytkowników środowiska istnieją jako kontenery dla wszystkich zasobów używanych przez Power Apps, Power Automate i Dataverse. Środowisk można używać do kierowania działań do różnych odbiorców i/lub do różnych celów, takich jak opracowywanie, testowanie i produkcja. Więcej informacji można znaleźć w temacie Omówienie środowisk.

Zabezpieczenie danych i sieci

• Usługi Power Apps i Power Automate nie zapewniają użytkownikom dostępu do żadnych zasobów danych, do których nie mają oni jeszcze dostępu. Użytkownicy powinni mieć dostęp tylko do tych danych, których naprawdę potrzebują.
• Zasady kontroli dostępu do sieci mogą mieć również zastosowanie do usług Power Apps i Power Automate. W środowisku można zablokować dostęp do lokacji z poziomu sieci, blokując stronę logowania w celu uniemożliwienia tworzenia połączeń z daną witryną z usług Power Apps i Power Automate.
• W środowisku dostęp jest kontrolowany na trzech poziomach: rolach środowiska, uprawnieniach zasobów dla Power Apps, Power Automate itp. i rolach zabezpieczeń Dataverse (jeśli jest inicjowanie obsługi bazy danych Dataverse).
• Kiedy wystąpienie usługi Dataverse jest tworzone w środowisku, role usługi Dataverse przejmują na siebie sterowanie zabezpieczeniami w środowisku (a wszyscy administratorzy i twórcy środowisk są migrowani).

Dla każdego typu roli są obsługiwane następujące podmioty zabezpieczeń.

Typ środowiska	Rola	Typ obiektu principal (Microsoft Entra ID)
Środowisko bez usługi Dataverse	Rola w środowisku	Użytkownik, grupa, dzierżawa
	Uprawnienie do zasobu: aplikacja kanwy	Użytkownik, grupa, dzierżawa
	Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1	Użytkownik, grupa
Środowisko z Dataverse	Rola w środowisku	User
	Uprawnienie do zasobu: aplikacja kanwy	Użytkownik, grupa, dzierżawa
	Uprawnienie do zasobu: Power Automate, łącznik niestandardowy, bramy, połączenia1	Użytkownik, grupa
	Rola Dataverse (dotyczy wszystkich aplikacji i składników opartych na modelach)	Użytkownika

¹Tylko niektóre połączenia (na przykład SQL) mogą być udostępnione.

Uwaga

• W środowisku domyślnym wszystkim użytkownikom w dzierżawie jest przyznawany dostęp do roli Twórca środowiska.
• Użytkownicy z rolą administratora Power Platform mają dostęp administracyjny do wszystkich środowisk.

Często zadawane pytania — Jakie uprawnienia istnieją na poziomie dzierżawy usługi Microsoft Entra?

Obecnie administratorzy Microsoft Power Platform mogą wykonać następujące czynności:

1. Pobieranie raportu o licencjach na usługi Power Apps i Power Automate
2. Tworzenie zasad DLP o zakresie „Wszystkie środowiska” lub obejmującym/wykluczającym określone środowiska
3. Zarządzanie licencjami i ich przypisywanie za pośrednictwem centrum administracyjnego usługi Office
4. Uzyskaj dostęp do wszystkich funkcji zarządzania środowiskiem, aplikacjami i przepływami dla wszystkich środowisk dostępnych w dzierżawie za pośrednictwem następujących użytkowników:
   • Polecenia cmdlet programu PowerShell dotyczące administrowania usługą Power Apps
   • Łączniki zarządzania usługą Power Apps
5. Uzyskiwanie dostępu do analiz administracyjnych usług Power Apps i Power Automate we wszystkich środowiskach w dzierżawie:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

Zagadnienia dotyczące usługi Microsoft Intune

Klienci korzystający z usługi Microsoft Intune mogą ustawiać zasady ochrony aplikacji mobilnych dla aplikacji usług Power Apps i Power Automate na urządzeniach z systemami Android i iOS. W tym instruktażu opisano ustawianie zasady przy użyciu usługi Intune dla usługi Power Automate.

Zagadnienia dotyczące dostępu warunkowego na podstawie lokalizacji

W przypadku klientów posiadających Microsoft Entra ID P1 lub P2, zasady dostępu warunkowego można zdefiniować w Azure for Power Apps i Power Automate. Umożliwia to przyznawanie lub blokowanie dostępu na podstawie użytkownika/grupy, urządzenia lub lokalizacji.

Tworzenie zasady dostępu warunkowego

1. Zaloguj się w https://portal.azure.com.
2. Wybierz opcję Dostęp warunkowy.
3. Wybierz opcję +Nowa zasada.
4. Wybierz wybrani użytkownicy i grupy.
5. Wybierz wszystkie aplikacje w chmurze>Wszystkie aplikacje w chmurze>Common Data Service, aby kontrolować dostęp do aplikacji Customer Engagement.
6. Zastosuj warunki (ryzyko użytkownika, platformy urządzeń, lokalizacje).
7. Wybierz pozycję Utwórz.

Zapobieganie wyciekom danych za pomocą zasad ochrony przed utratą danych

Zasady ochrony przed utratą danych (DLP) egzekwują reguły decydujące o tym, które łączniki mogą być używane razem, klasyfikując łączniki jako Tylko dane biznesowe lub Zakaz danych biznesowych. Krótko mówiąc, jeśli łącznik zostanie umieszczony w grupie typu Tylko dane biznesowe, może być używany tylko razem z innymi łącznikami z tej grupy w tej samej aplikacji. Administratorzy Power Platform mogą definiować zasady, które mają zastosowanie do wszystkich środowisk.

Często zadawane pytania

Pyt.: Czy można kontrolować na poziomie dzierżawy, który łącznik jest w ogóle dostępny, na przykład Nie dla usług Twitter lub Dropbox, ale tak dla SharePoint?

Odp.: Jest to możliwe, klikając możliwości klasyfikacji łączników i przypisując zablokowany klasyfikator do jednego lub kilku łączników, które nie mają być używane. Należy pamiętać, że istnieje zestaw łączników, których nie można blokować.

P: A co z udostępnianiem łączników między użytkownikami? Na przykład czy łącznik dla Teams jest łącznikiem ogólnym, który można udostępnić?

O: Łączniki są dostępne dla wszystkich użytkowników z wyjątkiem łączników premium lub niestandardowych, które wymagają innej licencji (łączniki premium) lub muszą być jawnie udostępniane (łączniki niestandardowe)

Alerty i akcje

Poza monitorowaniem wielu klientów chce subskrybować również zdarzenia tworzenia, użytkowania lub informowania o kondycji oprogramowania, tak aby wiedzieć, kiedy należy podjąć czynności. W tej sekcji przedstawiono kilka sposobów obserwowania zdarzeń (ręcznie i programowo) oraz wykonywania akcji wyzwalanych wystąpieniem zdarzenia.

Tworzenie przepływów usługi Power Automate do alarmowania o kluczowych zdarzeniach inspekcyjnych

1. Przykładem alertu, który można zaimplementować, jest zasubskrybowanie dzienników inspekcji zabezpieczeń i zgodności w usłudze Microsoft 365.
2. Można to osiągnąć poprzez subskrypcję elementu webhook lub poprzez sondowanie. Jednak wykorzystanie usługi Power Automate do tych alertów pozwala zaoferować administratorom więcej niż tylko alerty pocztą e-mail.

Tworzenie potrzebnych zasad za pomocą narzędzi Power Apps, Power Automate i PowerShell

1. Te polecenia cmdlet programu PowerShell przekazują całą kontrolę w ręce administratorów, umożliwiając zautomatyzowanie niezbędnych zasad nadzoru.
2. Łączniki Power Platform for Admins V2 (wersja zapoznawcza) i zarządzania Power Automate zapewniają ten sam poziom kontroli, ale z dodatkową rozszerzalnością i łatwością użytkowania dzięki wykorzystaniu Power Apps i Power Automate.
3. Zapoznaj się z najlepszymi rozwiązaniami Power Platform dotyczącymi administracji i ładu oraz rozważ skonfigurowanie zestawu startowegoCentrum doskonałości (CoE).
4. Korzystaj z tego szablonu bloga i aplikacji szybko na łącznikach administracji.
5. Ponadto warto sprawdzić zawartość udostępnioną w Galerii aplikacji społeczności, gdzie przedstawiono więcej przykładów środowisk administracyjnych utworzonych za pomocą usługi Power Apps i łączników administracyjnych.

Często zadawane pytania

Problem Obecnie wszyscy użytkownicy z licencjami Microsoft E3 mogą tworzyć aplikacje w środowisku domyślnym. W jaki sposób można włączyć prawa Kreatora środowisk na przykład dla wybranej grupy. 10 osób, aby utworzyć aplikacje?

Rekomendacja

Rekomendacja Polecenia cmdlet programu PowerShell i łączniki zarządzania zapewniają administratorom pełną elastyczność i kontrolę nad tworzeniem zasad potrzebnych w podległych im organizacjach.

Monitorowanie

Powszechnie wiadomo, że monitorowanie jest krytycznym aspektem zarządzania oprogramowaniem na dużą skalę. W tej sekcji przedstawiono kilka sposobów uzyskiwania wglądu w Power Apps rozwój Power Automate i użytkowanie.

Przeglądanie dziennika inspekcji

Rejestrowanie działań dla usługi Power Apps jest zintegrowane z centrum zabezpieczeń i zgodności usługi Office, aby zapewnić kompleksowe rejestrowanie we wszystkich usługach Microsoft, takich jak Dataverse i Microsoft 365. W pakiecie Office udostępniono interfejs API umożliwiający wysyłanie zapytań o te dane. Interfejs jest obecnie używany przez wielu dostawców SIEM jako narzędzie pozwalające wykorzystywać dane z funkcji Rejestrowanie działań na potrzeby raportowania.

Wyświetlanie raportu dotyczącego licencji Power Apps i Power Automate

1. Przejdź do centrum administracyjnego usługi Power Platform.

2. Wybierz pozycję Analiza>Power Automate lub Power Apps.

3. Wyświetlanie analiz administracyjnych usług Power Apps i Power Automate

   Można zdobyć następujące informacje:

   • Liczba aktywnych użytkowników i użytkowanie aplikacji – ilu użytkowników korzysta z aplikacji i jak często?
   • Lokalizacja — gdzie się odbywa użytkowanie?
   • Działanie usług w łącznikach
   • Raportowanie błędów — aplikacje, w których najczęściej występujące błędy
   • Wykorzystywane przepływy według typu i daty
   • Tworzone przepływy według typu i daty
   • Inspekcje na poziomie aplikacji
   • Kondycja usług
   • Używane łączniki

Wyświetlanie licencjonowanych użytkowników

Zawsze możesz przyjrzeć się licencjonowaniu poszczególnych użytkowników w centrum administracyjnym Microsoft 365, przechodząc do konkretnych użytkowników.

Do wyeksportowania przydzielonych licencji użytkownika można również użyć poniższego polecenia środowiska PowerShell.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Eksportuje wszystkie przypisane licencje użytkownika (Power Apps i Power Automate) z Twojej dzierżawy w postaci pliku CSV widoku tabelarycznego. Wyeksportowany plik zawiera wewnętrzne plany na wersje próbne z samodzielną rejestracją oraz plany pobrane z usługi Microsoft Entra ID. Wewnętrzne plany wersji próbnej nie są widoczne dla administratorów w centrum administracyjnym Microsoft 365.

Eksportowanie może zająć dużo czasu, jeśli dzierżawy zajmują dużą liczbę użytkowników Power Platform.

Wyświetlanie zasobów aplikacji używanych w środowisku

1. W centrum administracyjnym usługi Power Platform w menu nawigacji wybierz pozycję Środowiska.
2. Wybierz środowisko.
3. Opcjonalnie listę zasobów używanych w środowisku można pobrać jako plik .csv.

Informacje pokrewne

• Zabezpieczanie środowisk usługi Power Automate i zarządzanie nimi za pomocą najlepszych rozwiązań
  
• Pakiet startowy centrum doskonałości usługi Microsoft Power Platform