Aktywowanie Środowisk zarządzanych
W tym opracowaniu technicznym opisano kluczowe funkcje i możliwości środowisk zarządzanych oraz wynikające z nich korzyści dla organizacji i administratorów.
Uwaga
Możesz zapisać lub wydrukować ten oficjalny dokument przez wybranie pozycji Drukuj w przeglądarce, a następnie wybranie pozycji Zapisz jako plik PDF.
Omówienie Środowiska zarządzane
Środowiska zarządzane to zestaw najwyższej klasy funkcji umożliwiających administratorom IT zarządzanie Power Platform na skalę przy większej kontroli, większej widoczności i mniejszym nakładzie pracy. Zarządzać można każdym typem środowiska. Gdy środowisko jest zarządzane, odblokowuje więcej funkcji w różnych obszarach Power Platform. Dowiedz się, jak włączyć środowiska zarządzane.
W tym opracowaniu technicznym dowiesz się o następujących funkcjach i poznasz przykłady oparte na organizacjach, które aktywowały środowiska zarządzane:
- Potoki w Power Platform stosują automatyzację zarządzania cyklem życia aplikacji (ALM) w celu usprawnienia procesów rozwoju przy zmniejszonym wysiłku.
- Treść powitalna dla twórców wita twórców w organizacji za pomocą niestandardowej wiadomości, aby pomóc im rozpocząć pracę. Power Apps.
- Ogranicz udostępnianie dodaje barierę ograniczającą zakres, w jakim użytkownicy mogą udostępniać aplikacje kanwy.
- Informacje o użytkowaniu to cotygodniowa wiadomość e-mail, która informuje administratorów o wykorzystaniu aplikacji i aktywności użytkowników.
- Zasady dotyczące danych można łatwo przeglądać i identyfikować.
- Egzekwowanie sprawdzania rozwiązań sprawdza rozwiązania pod kątem zestawu reguł najlepszych praktyk w celu zidentyfikowania problematycznych wzorców.
- Zapora sieciowa IP chroni dane organizacyjne, ograniczając dostęp użytkowników do Dataverse do dozwolonych adresów IP.
- Powiązanie plików cookie IP uniemożliwia powiązanie sesji z wykorzystanie w Dataverse przy użyciu powiązania plików cookie opartych na adresie IP.
- Klucz zarządzany przez klienta (CMK) oferuje dodatkowe zabezpieczenia danych w celu szyfrowania danych przy użyciu klucza szyfrowania samodzielnie używającego magazynu kluczy.
- Skrytka klienta udostępnia interfejs dla klienta do zatwierdzania żądań dostępu do danych z pomocy technicznej firmy Microsoft.
- Rozszerzona kopia zapasowa wydłuża okres przechowywania kopii zapasowych od 7 dni do 28 dni.
- Aplikacja DLP dla przepływu pulpitu określa schematy przepływu pulpitu i akcje poszczególnych modeli Power Automate.
- Eksportowanie danych na platformę Application Insights pomaga diagnozowanie i rozwiązywanie problemów związanych z błędami i wydajnością.
- Katalog w Power Platform w celu promowania współpracy i produktywności dzięki udostępnianiu artefaktów Power Platform na skalę.
- Domyślne wyznaczanie tras środowiska domyślne automatycznie przekierowanie nowych twórców do ich osobistych środowisk dla deweloperów.
Potoki w Power Platform
Pipelines w Power Platform wprowadzają najlepsze praktyki ALM, automatyzację oraz możliwości ciągłej integracji i ciągłego dostarczania (CI/CD) do klientów Power Platform i Dynamics 365 w bardziej przystępny sposób.
W organizacjach administratorzy IT lub członkowie zespołu zarządzającego często udzielają wskazówek dotyczących sposobu wdrażania rozwiązań w różnych środowiskach. Centralnie zarządzane i zarządzane potoki zapewniają twórcom intuicyjne środowisko użytkownika i łatwiejsze wdrażanie ich rozwiązań.
Aby użyć potoków do wdrożenia rozwiązania z jednego środowiska, zwykle określonego jako środowisko źródłowe, do innego, zwykle określonego jako środowisko docelowe, należy określić, które środowiska są częścią potoków. Najbardziej typowe potok składa się z środowisk deweloperskich/testowych/produkcyjnych lub deweloperskich/sprawdzania/testowych/produkcyjnych. Oto przykład potoku:
Zalecamy, aby wszystkie środowiska w potoku były środowiskami zarządzanymi, ale środowiska programistyczne mogą być używane w potoku bez zarządzania.
As a best practice, personal productivity solutions should be developed in a osobiste środowisko programistyczne, z którego mogą być wdrażane do środowisk docelowych za pomocą potoków. Podczas tworzenia nowych środowisk w celu ułatwienia korzystania z technologii ALM dla projektów realizowanych na skalę i realizowanych przez deweloperów można także rozważyć ustawienia.
Zawartość powitalna dla twórców
W środowiskach zarządzanych administratorzy mogą dostarczyć dostosowaną zawartość powitalną, która pomoże ich twórcom rozpocząć pracę z Power Apps. Niestandardowa wiadomość powitalna może informować twórców, przy pierwszej wizycie w Power Apps, o zasadach firmy i o tym, co mogą robić w każdym środowisku lub grupie środowisk.
Oto kilka sugestii dotyczących sposobu, w jaki organizacja może korzystać z komunikatu powitaowego dla każdego typu środowiska. Korzystanie z obrazów identyfikujących typ środowiska lub właścicieli jest bardzo dobre w przypadku użytkowników i zapobiegania im.
Środowisko domyślne
Domyślne środowisko jest często najbardziej ograniczone, z zasadami zapobiegania utracie danych (DLP) i kontrolami udostępniania. Utwórz wiadomość powitalną, która ostrzega twórców o ograniczeniach i możliwych ograniczeniach oraz zawiera link do strony internetowej lub dokumentu dotyczącego zasad organizacji.
Można na przykład poinformować twórców, aby używali domyślnego środowiska tylko dla rozwiązań powiązanych z aplikacjami Microsoft 365, nie używali aplikacji produkcyjnych w domyślnym środowisku i udostępniali swoje aplikacje oparte na kanwie tylko ograniczonej liczbie osób. Poniższy przykład pokazuje, jak utworzyć taki komunikat w ustawieniach Managed Environments:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment
### Before you start, here are some considerations
Use this environment if you plan to build apps that integrate with Office 365.
Before you start, be aware of these limitations:
1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.
If you're not sure you're in the right place, follow [this guidance**](#).
Oto wyrenderowana wiadomość powitalna:
Środowiska produkcyjne
Środowiska produkcyjne są zwykle używane do wdrażania rozwiązań, które wspierają produktywność przedsiębiorstwa i zespołu. Ważne jest, aby aplikacje i dane były zgodne z zasadami organizacyjnymi. Ponieważ musisz kontrolować, którzy użytkownicy mają dostęp do środowiska produkcyjnego, dobrym pomysłem jest poinformowanie użytkowników, jeśli masz politykę odświeżania dostępu. W środowisku produkcyjnym można zezwolić na większą liczbę łączników i zwiększyć limity udostępniania. Możesz również użyć wiadomości powitalnej, aby poinformować twórców o właściwym zespole, do którego należy się zwrócić w celu uzyskania wsparcia. Poniższy przykład pokazuje, jak utworzyć taką wiadomość:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment
### Before you start, here are some considerations
Use this environment if you're on the HR team and your data is located in Europe.
Before you start, be aware of these limitations:
1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Środowiska programistyczne
Środowiska deweloperskie są najczęściej miejscem, w którym deweloperzy tworzą swoje rozwiązania. Ponieważ programiści pracują nad aplikacjami, nie są one w fazie produkcyjnej, a skalowalność jest ograniczona. Zazwyczaj środowiska deweloperskie mają bardziej zrelaksowane DLP ze względu na charakter twórców. Aby uniknąć używania przez deweloperów tego typu środowiska z zasobami produkcyjnymi, ogranicz możliwości udostępniania i użyj określonej aplikacji DLP dla tego typu środowiska. Oto przykład wiadomości powitalnej dla środowiska programistycznego:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment
### Before you start, here are some considerations
Use this environment if you're a developer and you're building solutions.
Before you start, be aware of these limitations:
1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Środowiska piaskownicy
Zwykle środowiska w piaskownicy są używane podczas testowania rozwiązania. Z powodu niektórych testów obejmujących dużą liczbę użytkowników te środowiska są skalować do pewnego momentu i mają więcej wydajności niż środowisko dla deweloperów. Środowiska sandbox są również powszechnie używane jako środowiska programistyczne i są zazwyczaj współdzielone przez wielu programistów. Oto przykład wiadomości powitalnej dla tego typu środowiska:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment
### Before you start, here are some considerations
Use this environment only if you're testing solutions.
Before you start, be aware of these limitations:
1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
Ogranicz udostępnianie
W środowiskach zarządzanych administratorzy mogą ograniczyć zakres, w jakim użytkownicy mogą udostępniać aplikacje kanwy. Limit dotyczy jednak tylko udostępniania w przyszłości. Jeśli zastosujesz limit udostępniania 20 do środowiska z aplikacjami, które są już udostępnione ponad 20 użytkownikom, aplikacje te będą nadal działać dla wszystkich użytkowników, którym zostały udostępnione. Należy wdrożyć proces informowania twórców aplikacji, które są udostępniane z większą liczbą użytkowników niż nowy limit, aby zmniejszyć liczbę użytkowników, którym aplikacje są udostępniane. W niektórych przypadkach możesz zdecydować się na przeniesienie rozwiązania do innego środowiska. Limity udostępniania dotyczą tylko aplikacji opartych na kanwie.
Administratorzy zazwyczaj muszą kontrolować, w jaki sposób i kiedy twórcy udostępniają swoje aplikacje:
Aplikacje są udostępniane w osobistym środowisku produktywności. Jeśli masz środowisko, w którym użytkownicy mogą tworzyć aplikacje do własnej pracy, aplikacje bez globalnej wartości biznesowej lub aplikacje bez wsparcia ze strony działu IT, ważne jest, aby nie zezwalać twórcom na udostępnianie ich w całej organizacji. Jeśli aplikacje zaczynają się jako osobiste aplikacje zwiększające produktywność, ale później stają się popularne i są szeroko stosowane, należy pamiętać o ustawieniu limitu udostępniania. Typowe ograniczenie wynosi od 5 do 50 użytkowników.
Aplikacje są udostępniane grupom bezpieczeństwa lub wszystkim. Aplikacje udostępnione grupie zabezpieczeń mogą być uruchamiane przez wszystkich członków grupy. W środowisku deweloperskim można chcieć, aby deweloper kontrolował sposób udostępniania aplikacji, zamiast polegać na członkostwie w grupie. W innych scenariuszach możesz chcieć zezwolić na udostępnianie wszystkim. Jeśli zasady organizacji są takie, że aplikacje są udostępniane grupie zabezpieczeń, która obejmuje wszystkich użytkowników uprawnionych do uruchamiania aplikacji i jest zarządzana przez dział IT, warto ograniczyć twórcom możliwość udostępniania aplikacji innym grupom zabezpieczeń.
Oto typowe limity udostępniania dla każdego typu środowiska:
Domyślnie: wybierz opcję Wyklucz udostępnianie grupom zabezpieczeń, zaznacz pole wyboru Ogranicz łączną liczbę osób, które mogą udostępnić i wybierz 20 dla wartości.
Programisty: wybierz opcję Wyklucz udostępnianie grupom zabezpieczeń, zaznacz pole wyboru Ogranicz łączną liczbę osób, które mogą udostępnić i wybierz 5 dla wartości.
Piaskownica: wybierz opcję Wyklucz udostępnianie grupom zabezpieczeń i pozostaw pole wyboru Ogranicz łączną liczbę osób, które mogą udostępnić niezaznaczone. Użyj tej opcji, jeśli aplikacje są udostępniane grupie zabezpieczeń zarządzanej przez IT, która obejmuje użytkowników uprawnionych do uruchamiania aplikacji. Jeśli twórca, użytkownik lub zespół może zarządzać tym, którzy użytkownicy mogą testować rozwiązanie, wybierz Nie ustawiaj limitów (domyślnie).
Produkcyjne: wybierz opcję Nie ustawiaj ograniczeń (wartość domyślna). Aby kontrolować udostępnianie w oparciu o określoną grupę zabezpieczeń, wybierz Wyłącz udostępnianie grupom zabezpieczeń i pozostaw Ogranicz liczbę osób, które mogą udostępniać niezaznaczone.
Użycie szczegółowych informacji
Administratorzy i autoryzowani użytkownicy mogą być na bieżąco z tym, co dzieje się w ich środowiskach zarządzanych dzięki spostrzeżeniom dotyczącym użytkowania i analizom, dostarczanym w cotygodniowej wiadomości e-mail. Dowiedz się, które aplikacje i przepływy są najpopularniejsze, a które są nieaktywne i można je bezpiecznie wyczyścić. Linki w wiadomości e-mail prowadzą bezpośrednio do zasobów w celu przeprowadzenia dogłębnej analizy.
Zdecentralizowane zespoły IT często korzystają z cotygodniowych wiadomości e-mail, aby informować administratorów o tym, co dzieje się z ich zarządzanymi środowiskami, co sprawia, że zarządzanie odbiorcami jest ważnym zadaniem. Liczba odbiorców jest ograniczona, dlatego zalecamy korzystanie z listy dystrybucyjnej e-mail, takiej jak HR_Admins@contoso.com zamiast indywidualnych adresów.
Zasady danych
Dobrze zaplanowana strategia środowiskowa obejmuje solidne polityki dotyczące danych. Podczas pracy nad łącznikami są dostępne i które ze sobą mogą być używane. Wiele DLP może być aktywnych w tym samym środowisku, ale najbardziej restrykcyjne DLP ma pierwszeństwo. Jeśli na przykład jeden program DLP zezwala na korzystanie z łącznika A, a inny DLP blokuje korzystanie z łącznika A, łącznik jest blokowany.
Często w środowiskach stosowane jest wiele aplikacji DLP, w szczególności w scenariuszach, w których DLP są stosowane przez region, kraj, dział lub zespół w tym samym środowisku. Kluczowe znaczenie ma przejrzysta wizualizacja wszystkich zasad dotyczących danych, które mają zastosowanie do danego środowiska. Najprostszym sposobem na osiągnięcie tego celu jest zarządzanie środowiskiem. W środowiskach zarządzanych administratorzy mogą łatwo zidentyfikować wszystkie zastosowane narzędzia DLP.
Wymuszanie użycia kontrolera rozwiązań
Powszechne jest, że zespół Center of Excellence (CoE) ustawia barierki, aby zmniejszyć ryzyko importowania przez użytkowników niezgodnych rozwiązań do środowiska. W środowiskach zarządzanych administratorzy mogą łatwo wymuszać rozbudowane testy statyczne w stosunku do rozwiązań z zestawu reguł postępowania i zidentyfikować wzorce wzorców. Organizacje ze zdecentralizowanymi CoE często uważają za konieczne aktywowanie funkcji sprawdzania rozwiązań wraz z proaktywnym kontaktowaniem się z twórcami za pośrednictwem poczty elektronicznej w celu zaoferowania wsparcia.
Narzędzie do sprawdzania rozwiązań oferuje trzy poziomy kontroli: brak, ostrzeżenie i zablokowanie. Administratorzy konfigurują efekt sprawdzenia, czy wyświetla ostrzeżenie, ale zezwala na import, czy też całkowicie blokuje import, jednocześnie dostarczając wynik importu do twórcy.
Organizacje korzystające z tej funkcji konfigurują ją w różny sposób w zależności od typu środowiska. To normalne, że istnieją wyjątki i wskazówki powinny zawsze być zgodne z potrzebami. Poniżej znajdują się jednak najczęstsze ustawienia wymuszania sprawdzania rozwiązań w każdym typie środowiska:
Domyślnie: Wybierz Blokuj Wyślij e-maile.
Programisty: wybierz Ostrzegaj i pozostaw opcję Wysyłaj e-maile niezaznaczoną.
Piaskownica: wybierz Ostrzegaj i pozostaw opcję Wysyłaj e-maile niezaznaczoną.
Produkcyjne: wybierz Blokuj Wyślij e-maile.
Środowisko zespołów: wybierz Blokuj Wyślij e-maile.
Zapora bazująca na adresach IP
Domyślnie wszystkie dane Dataverse, do których można uzyskać dostęp, korzystając z interfejsu API z dowolnego adresu IP zabezpieczonego przez uwierzytelnianie. Organizacje zwykle ograniczają dostęp do dozwolonych źródeł, aby złagodzić zagrożenia wewnętrzne, takie jak eksfiltracja danych. Zapora IP w środowiskach zarządzanych pomaga chronić dane organizacyjne w Dataverse, ograniczając dostęp użytkowników tylko do dozwolonych adresów IP. Zapora IP analizuje adres IP każdego żądania w czasie rzeczywistym i odrzuca wszelkie żądania z niedozwolonych adresów.
Organizacje często konfigurują zaporę IP tak, aby zezwalała na połączenia z pomieszczeń biurowych i ograniczała połączenia przychodzące z zewnątrz. Najlepszym rozwiązaniem jest stosowanie go razem z dostępem warunkowym w celu uniknięcia niespójności zasad i zależności.
Porada
Jeśli te zasady zostały nieprawidłowo skonfigurowane, konieczne może być zgłoszenie pomocy technicznej firmy Microsoft. Dostęp do danych użytkowników w Power Apps można ograniczyć poza dozwolonymi działaniami IP oraz ograniczeniem czynności Power Automate, które zostały już dozwolone.
Powiązanie plików cookie IP (blokowanie odpowiedzi na pliki cookie)
Oparte na adresie IP wiązanie plików cookie zapobiega wykorzystywaniu plików cookie sesji, takich jak ataki polegające na odtwarzaniu plików cookie w środowiskach zarządzanych. Jeśli zostanie podjęta próba uzyskania dostępu do Dataverse na nieautoryzowanym komputerze przy użyciu pliku cookie sesji skradzionego z autoryzowanego komputera z włączonym powiązaniem plików cookie IP, próba zostanie zablokowana, a użytkownik zostanie poproszony o ponowne uwierzytelnienie. Użytkownik musi dokonać ponownego uwierzytelnienia, gdy
- Każdy klient VPN jest włączony lub wyłączony.
- Łączenie się z bezprzewodowym hotspotem.
- Połączenie jest resetowane przez dostawcę usług internetowych.
- Router jest resetowany lub uruchamiany ponownie.
Klucz zarządzany przez klienta
Klucz zarządzany przez klienta (CMK) jest jak zamek, który zakładasz na swój magazyn. Zamiast polegać na tym, jak dobrze firma magazynowa strzeże obiektu, przechowujesz klucz do zamka i decydujesz, kto ma dostęp do Twojej jednostki. Organizacje, które muszą przestrzegać przepisów i regulacji dotyczących bezpieczeństwa i poufności danych, mogą zabezpieczyć swoje dane, szyfrując je w spoczynku za pomocą własnego klucza. Jeśli kopia danych zostanie skradziona, nie można jej przywrócić na innym serwerze bez klucza szyfrowania.
Korzystając z CMK, gwarantujesz, że tylko ty masz dostęp do klucza umożliwiającego odszyfrowanie informacji. Nikt inny nie może uzyskać dostępu do zaszyfrowanych danych bez klucza szyfrowania, w tym Microsoft.
CMK oferuje przewagę nad modelem bring-your-own-key (BYOK). Możesz używać różnych lub wielu kluczy szyfrowania dla oddzielnych środowisk i możesz lepiej zarządzać kluczem szyfrowania we własnym magazynie kluczy. Uaktualnienie z BYOK do CMK otwiera również środowiska na wszystkie inne usługi Power Platform, które korzystają z pamięci masowej innej niż SQL, takie jak analizy i analizy klientów, większe rozmiary przesyłanych plików, bardziej opłacalne przechowywanie audytów z przechowywaniem audytów, elastyczne usługi tabel, wyszukiwanie Dataverse i długoterminowe przechowywanie. Jeśli Twoja organizacja korzysta z BYOK, zalecamy migrację do CMK.
Organizacje korzystające z CMK powinny mieć ścisłe procedury ochrony i odnawiania kluczy szyfrowania zarządzanych przez klienta.
Skrytka klienta
Większość operacji, wsparcia i rozwiązywania problemów wykonywanych przez personel Microsoft nie wymaga dostępu do danych klientów. Jednak w rzadkich sytuacjach pracownicy Microsoft potrzebują ograniczonego dostępu do danych klientów w celach dochodzeniowych. Firma Microsoft posiada wielowarstwowy wewnętrzny proces zatwierdzania umożliwiający w razie potrzeby udzielanie dostępu do danych klientów, ale wiele organizacji potrzebuje lub chce mieć większą kontrolę nad sposobem, w jaki Microsoft może uzyskać dostęp do ich danych. Dzięki Power Platform skrytce klienta klienci mogą przeglądać, zatwierdzać i odrzucać żądania dostępu do danych firmy Microsoft.
Gdy skrytka klienta zostanie aktywowana, a bilet pomocy technicznej będzie wymagał od nas ograniczonego dostępu do Twoich danych, administratorzy Twojej organizacji Power Platform otrzymają żądanie. Jeśli zostanie zatwierdzony, pracownicy Microsoft, którzy pracują nad zgłoszeniem, mają dostęp do danych tylko w żądanym środowisku i tylko przez określony czas. Co więcej, ich dostęp nie jest automatycznie odnawiany. Za każdym razem, gdy wymagany jest dostęp do danych, administratorzy otrzymują nowe żądanie skrytki klienta. Wszystkie aktualizacje żądań skrytki są automatycznie rejestrowane w dzienniku inspekcji.
Rozszerzona kopia zapasowa (7 do 28 dni)
Regularne i częste tworzenie kopii zapasowych chroni dane w Power Platform i Dataverse przed ryzykiem wystąpienia niepożądanych zdarzeń. Jeśli używasz Power Platform do tworzenia środowisk produkcyjnych, które mają bazę danych Dataverse i zainstalowane aplikacje Dynamics 365, środowiska te są automatycznie tworzone w kopii zapasowej i przechowywane przez maksymalnie 28 dni. Jeśli środowisko produkcyjne nie ma zainstalowanych aplikacji Dynamics 365, kopie zapasowe są przechowywane przez siedem dni. Jednak w przypadku środowisk zarządzanych administratorzy mogą użyć następującego polecenia PowerShell, aby wydłużyć okres przechowywania kopii zapasowych do 14, 21 lub 28 dni:
Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28
Zasady DLP dla przepływów pulpitu
W Power Automate można utworzyć zasady zapobiegania utracie danych, które klasyfikują moduły przepływu pulpitu i poszczególne akcje modułów jako Biznesowe, Niebiznesowe lub Zablokowane. Kategoryzowanie ich w ten sposób uniemożliwia twórcom łączenie modułów i akcji z różnych kategorii w przepływie pulpitu lub między przepływem chmury a przepływem pulpitu, którego używa - tylko w środowiskach zarządzanych. Chociaż można tworzyć zasady DLP dla przepływów pulpitu w środowiskach niezarządzanych, zasady te nie są egzekwowane.
Domyślnie grupy akcji przepływu pulpitu nie są wyświetlane podczas tworzenia zasad DLP. Administrator musi włączyć ustawienie dzierżawy Pokaż akcje przepływu pulpitu w zasadach DLP w centrum administracyjnym Power Platform.
Każdy w organizacji może tworzyć przepływy pulpitu Windows w domyślnym środowisku. Posiadanie strategii DLP dla przepływów pulpitu jest równie ważne, jak dla przepływów w chmurze, aby upewnić się, że twórcy są zgodni z zasadami organizacyjnymi. Na przykład, jeśli te zasady blokują uruchamianie skryptów na komputerach użytkowników, należy uniemożliwić twórcom tworzenie przepływów pulpitu za pomocą akcji Uruchom skrypt. Podobnie, jeśli te zasady ograniczają użycie łącznika HTTP w przepływach w chmurze, dobrym pomysłem jest zablokowanie podobnych działań w przepływach pulpitu.
Jeśli nie masz pewności, jak zasady DLP wpłyną na przepływy pulpitu Twoich pracowników, skorzystaj z narzędzia do analizy wpływu DLP w zestawie automatyzacji.
Eksportuj dane do Application Insights
Application Insights może odbierać dane diagnostyczne i wydajnościowe z Dataverse, które można wykorzystać do diagnozowania i rozwiązywania błędów i problemów z wydajnością. Organizacje korzystają z Application Insights, funkcji Azure Monitor, aby uzyskać większą kontrolę nad swoimi zasobami.
Jeśli masz środowiska Dataverse, możesz użyć strumienia danych do monitorowania wydajności wywołań przychodzących interfejsu API Dataverse, wywołań wykonania wtyczki Dataverse i wywołań Dataverse SDK oraz do monitorowania błędów w operacjach wtyczki i Dataverse SDK. Aplikacje można połączyć z usługą Application Insights, aby zrozumieć, co robią z nimi użytkownicy, zbierać informacje w celu podejmowania lepszych decyzji biznesowych i poprawiać jakość aplikacji. Na przykład poniższy zrzut ekranu pokazuje liczbę i średni czas trwania każdej operacji aplikacji opartej na modelu. Informacje te są przydatne do identyfikacji operacji, które mają największy wpływ na użytkowników aplikacji.
Możesz użyć Application Insights wraz z filtrami, aby wykryć każdy przepływ, który zawodzi i utworzyć alerty. W poniższym przykładzie pokazano, jak utworzyć alert niestandardowy filtrowania w celu awarii określonego przepływu chmury. Aby uzyskać więcej przykładów, zobacz Konfigurowanie Application Insights z Power Automate.
let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false
Katalog w Power Platform
Katalog w Power Platform to centralna lokalizacja, w której twórcy i programiści mogą odkrywać i udostępniać rozwiązania, szablony i składniki kodu do ponownego wykorzystania w całej organizacji. Zapewnia również centralną lokalizację dla administratorów do przechowywania i utrzymywania artefaktów Power Platform, z możliwościami zarządzania i przepływami pracy zatwierdzania w celu zapewnienia zgodności z wymogami regulacyjnymi i ustawowymi.
Twórcy i deweloperzy mogą tworzyć rozwiązania i szablony z przydatnymi punktami konfiguracji i przesyłać je do katalogu, aby pomóc współpracownikom w rozwiązywaniu problemów biznesowych. Administratorzy i osoby zatwierdzające zmiany w innych firmach mogą przejrzeć te zgłoszenia i zatwierdzić je. Katalog służy jako jedno źródło rzeczywistości dla artefaktów Power Platform, które można wybierać i kontrolować, aby przyspieszyć wartość dla twórców i deweloperów. Ogólnie rzecz ujmować, katalog w upraszcza proces znajdowania, tworzenia i udostępniania rozwiązań i szablonów, co ułatwia organizacjom rozwiązywanie problemów biznesowych i osiąganie ich celów.
Organizacje, które zachęcają programistów i twórców do tworzenia i udostępniania składników i szablonów w katalogu, czerpią większą wartość z inwestycji w Power Platform. Prosta kompilacja nie wystarczy. Udostępnianie artefaktów na dużą skalę sprzyja społecznościom i wspiera grupy, które mogą odblokować wartość z różnorodnego zestawu pracowników w organizacji. W rzeczywistości organizacje, które odnoszą największe sukcesy z Power Platform, przyjmują model zespołu multidyscyplinarnego, w którym profesjonalni programiści, twórcy i administratorzy współpracują ze sobą, aby pomóc swoim współpracownikom w uzyskaniu jak największej wartości z platformy poprzez ponowne wykorzystanie rozwiązań, szablonów i składników.
Domyślne wyznaczanie tras środowiska
Domyślny routing środowiska to funkcja zarządzania premium, której administratorzy Power Platform mogą używać do automatycznego kierowania nowych twórców do ich własnych osobistych środowisk programistycznych przy pierwszej wizycie w Power Apps. Domyślny routing środowiska oferuje nowym twórcom osobistą, bezpieczną przestrzeń do tworzenia z Microsoft Dataverse, bez obawy, że inni uzyskają dostęp do ich aplikacji lub danych.
Uwagi dotyczące dodatkowych środowisk
Rozważając korzystanie ze środowisk zarządzanych, należy pamiętać o kilku kwestiach.
Zarządzanie: środowiska zarządzane, zestaw startowy CoE, a może jedno i drugie?
Środowiska zarządzane to zestaw funkcji opracowanych tak, aby ułatwiały kontrolę nad Power Platform i wymagały mniejszej nakładu pracy ze strony administratorów, co wielu organizacji przewiduje. Procesy zarządzania w wielu organizacjach były pod wpływem zestawu startowego CoE. Inne opierają się na gotowych funkcjach zestawu i zostały rozszerzone tak, aby spełniały specyficzne potrzeby organizacji. Jeszcze inni korzystają z zestawu startowego CoE, aby rozszerzyć funkcje zarządzania środowiskami zarządzanymi.
Zespół inżynierów odpowiedzialny za Managed Environments ściśle współpracował z Power CAT, zespołem odpowiedzialnym za zestaw startowy, aby zidentyfikować najczęściej używane funkcje w zestawie i dodać je do środowisk zarządzanych. W rezultacie niektóre funkcje są dostępne w obu produktach. W przypadku korzystania ze środowisk zarządzanych funkcje produktu są zarządzane i obsługiwane przez firmę Microsoft. Nie trzeba ich aktualizować ani utrzymywać - są one aktualizowane automatycznie wraz z wersjami wydań Power Platform. Jeśli Twoja organizacja korzysta z zestawu startowego CoE, ważne jest, aby ustanowić i utrzymywać wewnętrzny proces jego comiesięcznej aktualizacji. Postępuj zgodnie z sugestiami przedstawionymi w zestaw startowy CoE – Office Hours.
Zalecanym podejściem jest korzystanie z obu rozwiązań - rozpoczęcie od środowisk zarządzanych i uzupełnienie wszelkich braków za pomocą zestawu startowego. Jak zdecydować, czy używać środowisk zarządzanych z zestawem startowym CoE.
Ponieważ zestaw jest tworzony przez społeczność, nie podlega on tym samym umowom dotyczącym poziomu usług, co nasze licencjonowane produkty. Przejdź do GitHub, aby zgłaszać błędy, zadawać pytania i prosić o nowe funkcje.
Jeśli planujesz dezaktywować środowiska zarządzane
Ważne jest, aby zrozumieć, co się stanie, jeśli organizacja przestanie korzystać ze środowisk zarządzanych. W poniższej tabeli opisano wpływ na twórców i administratorów.
| Funkcja | Wpływ twórcy | Wpływ administratora |
|---|---|---|
| Zawartość powitalna dla twórców | Pośrednio — po wprowadzeniu danych użytkowników do środowiska przestanie być wyświetlany komunikat powitalny. | Pośrednio: Nie mogą definiować niestandardowych wiadomości powitalnych w środowiskach. |
| Ogranicz udostępnianie | Bezpośrednio: mogą udostępniać swoje aplikacje dowolnym grupom zabezpieczeń i użytkownikom. | Pośrednio: nie mogą kontrolować sposobu udostępniania aplikacji w środowisku. |
| Użycie szczegółowych informacji | None | Bezpośrednio: zarówno oni, jak i inni odbiorcy, przestają otrzymywać cotygodniowe podsumowanie wiadomości e-mail. |
| Zasady danych | None | Pośrednio: wymuszane są zasady DLP, ale administratorzy nie mogą stosować wielu DLP w środowisku. |
| Potoki w Power Platform | Bezpośrednie: nie mogą używać potoków do wdrażania swoich rozwiązań. | None |
| Wymuszanie użycia kontrolera rozwiązań | Pośrednie: Mogą zaimportować dowolne rozwiązanie bez sprawdzania błędów, zabezpieczeń i niezgodnych zasobów. | None |
| Klucz zarządzany przez klienta | None | Pośrednie: Funkcja jest ograniczona. |
| Zapora bazująca na adresach IP | None | Pośrednie: Funkcja jest ograniczona. |
| Skrytka klienta | None | Pośrednie: Funkcja jest ograniczona. |
| Rozszerzona kopia zapasowa (7 do 28 dni) | None | Pośrednie: Funkcja jest ograniczona. |
| Zasady DLP dla przepływów pulpitu | Bezpośrednie: Mogą wykonywać wcześniej zablokowane akcje. | None |
| Eksportuj do szczegółowych informacji aplikacji | None | Pośrednie: Funkcja jest ograniczona. |
| Katalog w Power Platform | None | Pośrednie: Funkcja jest ograniczona. |
Wspólne ustawienia dla środowisk zarządzanych
Jeśli rozważasz aktywację środowisk zarządzanych, poniższe przykładowe ustawienia dla każdego typu środowiska mogą okazać się przydatne:
Środowisko domyślne
- Ograniczenie udostępniania: wyklucz udostępnianie grupom, ogranicz udostępnianie do 20 osób
- Wymuszanie sprawdzanie rozwiązania: blokowanie i wysyłanie wiadomości e-mail
- Użycie szczegółowych informacji: włączone
- Zawartość powitalna twórcy: dostosowane, w tym łącze, aby dowiedzieć się więcej
Środowisko programistyczne
- Udostępnianie limitów: nie ustawiaj limitów
- Wymuszanie sprawdzania rozwiązania: ostrzeż i nie wysyłaj wiadomości e-mail
- Użycie szczegółowych informacji: wyłączone
- Zawartość powitalna twórcy: dostosowane, w tym łącze, aby dowiedzieć się więcej
Środowisko piaskownicy
- Udostępnianie limitów: nie ustawiaj limitów
- Wymuszanie sprawdzania rozwiązania: ostrzeż i nie wysyłaj wiadomości e-mail
- Użycie szczegółowych informacji: włączone
- Zawartość powitalna twórcy: dostosowane, w tym łącze, aby dowiedzieć się więcej
Środowisko produkcyjne
- Udostępnianie limitów: nie ustawiaj limitów
- Wymuszanie sprawdzanie rozwiązania: blokowanie i wysyłanie wiadomości e-mail
- Użycie szczegółowych informacji: włączone
- Zawartość powitalna twórcy: dostosowane, w tym łącze, aby dowiedzieć się więcej
Środowisko zespołów
- Udostępnianie limitów: nie ustawiaj limitów
- Wymuszanie sprawdzanie rozwiązania: blokowanie i wysyłanie wiadomości e-mail
- Użycie szczegółowych informacji: włączone
- Zawartość powitalna twórcy: brak zawartości i łącza Dowiedz się więcej
Jak zdecydować, czy używać środowisk zarządzanych z zestawem startowym CoE
Zestaw startowy CoE oferuje kompleksowy zestaw funkcji do administrowania, zarządzania i pielęgnowania nad przyjęciem Power Platform. Jest to produkt naszych eksperymentów i innowacji z modelem open-source o niskim kodzie, na który duży wpływ mają opinie klientów. Niektóre z jego funkcji pokrywają się z funkcjami środowisk zarządzanych, a środowiska zarządzane mają ostatecznie zastąpić niektóre funkcje zestawu. Ponieważ środowiska zarządzane ewoluują, nadal dodajemy nowe funkcje do zestawu, aby ocenić zainteresowanie. Zestaw startowy CoE nie ma na celu powielania funkcji istniejących w środowiskach zarządzanych. Koncentruje się na innowacjach i reagowaniu na niezaspokojone potrzeby klientów, ponieważ badamy opinie na temat tego, co jest potrzebne w przyszłości.
Środowisk zarządzanych można używać samodzielnie lub z zestawem startowym CoE, aby administrować i zarządzać wdrażaniem następujących rozwiązań Power Platform. Skąd wiadomo, którą opcję wybrać?
Zaleca się rozpoczęcie od funkcji domyślnych w Centrum administracyjnym platformy Power Platform i środowiskach zarządzanych. Są solidne i w pełni obsługiwane. Jeśli okaże się, że potrzebujesz więcej funkcji do zarządzania dzierżawą, sprawdź, czy zestaw startowy CoE może uzupełnić to, co otrzymujesz wraz z rozwiązaniem środowisk zarządzanych. Każda organizacja musi znaleźć najlepszy model hybrydowy, który odpowiada jej wymaganiom.
Zestaw startowy CoE vs środowiska zarządzane
Należy wziąć pod uwagę kilka istotnych różnic między zestawem startowym CoE a środowiskiem zarządzanym.
Zestaw startowy CoE wykorzystuje publicznie dostępne interfejsy API i działania w celu zastosowania zabezpieczeń w zakresie zarządzania. Procesy zarządzania są asynchroniczne i odbywają się reaktywnie. Załóżmy, że organizacja musi ograniczyć udostępnianie aplikacji do 20 użytkowników. CoE może zareagować dopiero po przekroczeniu limitu, co może skutkować niezgodnością aktywów. Z drugiej strony, Środowiska zarządzane wykorzystują prywatne interfejsy API, wbudowane w produkt, które wymuszają limity udostępniania przed ich przekazaniem.
Managed Environments nieustannie ewoluuje w oparciu o opinie i doświadczenia klientów korzystających z zestawu startowego CoE. Niektóre funkcje w pełni lub częściowo się pokrywają. I odwrotnie, zestaw startowy ma funkcje, których organizacje mogą używać do robienia rzeczy, które nie są jeszcze możliwe w środowiskach zarządzanych i odwrotnie. Zaleca się przejrzenie Centrum rekomendacji (CoE) — omówienie.
Poniższe porównanie funkcji środowisk zarządzanych i zestawu startowego CoE powinno pomóc w podjęciu decyzji.
Funkcja zarządzanych środowisk: Powitanie twórców Dostępne w zestawie startowym CoE: Częściowo
- W środowiskach zarządzanych administratorzy mogą zapewnić niestandardową treść powitalną, aby powitać twórców podczas ich pierwszej wizyty w Power Apps z informacjami o tym, jak rozpocząć pracę. Zestaw startowy CoE oferuje powitalną wiadomość e-mail, która jest wysyłana do nowych twórców dopiero po utworzeniu przez nich pierwszej aplikacji, przepływu lub bota.
- Managed Environments komunikuje się z nowymi twórcami bezpośrednio w studiu. Zestaw startowy CoE komunikuje się wyłącznie za pośrednictwem poczty elektronicznej.
- Środowisko zarządzane pozwala administratorom dostosować wiadomość powitalną w każdym środowisku. Zestaw startowy CoE ma jedną wiadomość powitalną we wszystkich środowiskach.
Funkcja środowisk zarządzanych: Udostępnianie limitów Dostępne w zestawie startowym CoE: Nie w czasie rzeczywistym (reaktywne)
Administratorzy mogą ustawiać ograniczenia udostępniania w zestawie, ale nie mogą być w sposób aktywny wymuszani. Ograniczenia udostępniania w zestawie są używane do wysyłania powiadomień i przypomnień dotyczących zgodności tylko do twórców.
Funkcja zarządzanych środowisk: Informacje o użytkowaniu Dostępne w zestawie startowym CoE: Tak
- Oba rozwiązania mają dobrą wizualizację zapasów i wiedzy dotyczącej użycia.
- Raportowanie w zestawie startowym CoE łączy dane diagnostyczne i inwentaryzacyjne z danymi o dzierżawie z Microsoft Entra ID, umożliwiając znalezienie najbardziej aktywnych twórców według działu, miasta lub kraju/regionu.
- Raportowanie w zestawie startowym korzysta z Power BI, co oznacza, że można "kroić i kostkować" dane w oparciu o swoje wymagania i korzystać z zabezpieczeń na poziomie wierszy Power BI, aby udostępniać pulpity nawigacyjne innym grupom administratorów. Dowiedz się, jak uzyskać dogłębny wgląd w adopcję Power Platform za pomocą pulpitu nawigacyjnego CoE Power BI.
Funkcja zarządzanych środowisk: Zasady dotyczące danych Dostępne w zestawie startowym CoE: Tak
Zestaw startowy CoE zawiera narzędzie wpływu DLP, które jest przydatne w zrozumieniu wpływu aktywacji lub dezaktywacji określonych DLP na środowisko.
Funkcja zarządzanych środowisk: Podsumowanie tygodniowe Dostępne w zestawie startowym CoE: Częściowo
- Zestaw startowy CoE nie zawiera cotygodniowego podsumowania dla administratorów. Zamiast tego administratorzy otrzymują informacje z pulpitu nawigacyjnego Power BI.
- W środowiskach zarządzanych nieaktywne aplikacje i przepływy są wyróżniane w cotygodniowej wiadomości e-mail. Zestaw startowy CoE posiada proces powiadamiania o nieaktywności, który powiadamia twórców o ich nieaktywnych zasobach i prosi o zgodę na ich usunięcie.
- Jednym z głównych celów zarówno środowiska zarządzanego, jak i zestawu startowego CoE jest dostarczenie większej ilości informacji, które pozwolą administratorom na podjęcie działań. Zestaw startowy CoE ma tutaj przewagę. Posiada funkcje, które kierują zarządzanie zasobami do twórców, czyniąc ich odpowiedzialnymi za własne zasoby i zmniejszając obciążenie administratorów.
Funkcja zarządzanych środowisk: Potoki w Power Platform Dostępne w zestawie startowym CoE: Częściowo
Częścią zestawu startowego CoE jest inny zestaw o nazwie ALM Accelerator for Power Platform, który ma funkcje podobne do potoków, w tym pewną rozszerzalność integracji między oboma rozwiązaniami.
Funkcja środowisk zarządzanych: Wymuszanie sprawdzania rozwiązań Dostępne w zestawie startowym CoE: Nie
Ponieważ rozwiązania te są ściśle zintegrowane z produktem, zestaw startowy CoE nie ma możliwości ich sprawdzenia.
Funkcja zarządzanych środowisk: Zapora IP Dostępne w zestawie startowym CoE: Nie
Funkcja środowisk zarządzanych: Blokowanie ataków polegających na odtwarzaniu plików cookie Dostępne w zestawie startowym CoE: Nie
Funkcja środowisk zarządzanych: Klucze zarządzane przez klienta Dostępne w zestawie startowym CoE: Nie
Funkcja środowisk zarządzanych: Skrytka klienta Dostępne w zestawie startowym CoE: Nie
Podsumowanie
Środowiska zarządzane z funkcjami zarządzania premium stanowią kluczowe rozwiązanie dla administratorów IT, których zadaniem jest zarządzanie i zarządzanie wdrażaniem Power Platform na dużą skalę. Zapewniając solidny zestaw narzędzi i kontroli, umożliwia zespołom zarządzającym utrzymanie delikatnej równowagi między innowacyjnością a bezpieczeństwem. Dzięki szczegółowej kontroli dostępu, usprawnionemu wdrażaniu rozwiązań i egzekwowaniu zasad, środowiska zarządzane stanowią podstawę dla organizacji, które mogą w pełni wykorzystać potencjał Power Platform, zapewniając jednocześnie zgodność z przepisami, integralność danych i optymalną wydajność. W erze, w której zarządzanie danymi jest najważniejsze, możliwości te sprawiają, że Power Platform jest kamieniem węgielnym w nowoczesnych strategiach informatycznych przedsiębiorstw, sprzyjając wydajności i spokojowi zarówno administratorów, jak i interesariuszy.