ข้อควรพิจารณาด้านความปลอดภัยและการกำกับดูแลใน Power Platform

ลูกค้าหลายคนสงสัยว่า Power Platform พร้อมให้บริการแก่ธุรกิจในวงกว้างและสนับสนุนโดยไอทีอย่างไร การกำกับดูแลคือคำตอบ การกำกับดูแลมีจุดมุ่งหมายเพื่อให้กลุ่มธุรกิจสามารถมุ่งเน้นการแก้ปัญหาทางธุรกิจได้อย่างมีประสิทธิภาพ ในขณะที่ปฏิบัติตามมาตรฐานด้านไอทีและการปฏิบัติตามธุรกิจ เนื้อหาต่อไปนี้มีจุดมุ่งหมายเพื่อจัดโครงสร้างธีมที่มักเกี่ยวข้องกับซอฟต์แวร์ควบคุม และสร้างความตระหนักรู้ถึงความสามารถที่พร้อมใช้งานสำหรับแต่ละธีมที่เกี่ยวข้องกับการกำกับดูแล Power Platform

ธีม	คำถามทั่วไปที่เกี่ยวข้องกับแต่ละธีมที่เนื้อหานี้ให้คำตอบ
สถาปัตยกรรม	อะไรคือโครงสร้างพื้นฐานและแนวคิดของ Power Apps, Power Automate และ Microsoft Dataverse โครงสร้างเหล่านี้เข้ากันได้กับเวลาการออกแบบและรันไทม์อย่างไร
ความปลอดภัย	แนวทางปฏิบัติที่ดีที่สุดสำหรับการพิจารณาการออกแบบความปลอดภัยคืออะไร ฉันจะใช้โซลูชันการจัดการผู้ใช้และกลุ่มที่มีอยู่ เพื่อจัดการบทบาทการเข้าถึงและความปลอดภัยใน Power Apps ได้อย่างไร
การดำเนินการและการแจ้งเตือน	ฉันจะกำหนดรูปแบบการกำกับดูแลระหว่าง นักพัฒนาที่เป็นบุคคลทั่วไป และบริการด้านไอทีที่มีการจัดการได้อย่างไร ฉันจะกำหนดรูปแบบการกำกับดูแลระหว่าง ไอทีส่วนกลาง และผู้ดูแลหน่วยธุรกิจได้อย่างไร ฉันจะทำการสนับสนุนสำหรับสภาพแวดล้อมที่ไม่ใช่ค่าเริ่มต้นในองค์กรของฉันได้อย่างไร
ตรวจสอบ	เราจะรวบรวมข้อมูลการปฏิบัติตาม / การตรวจสอบได้อย่างไร ฉันจะวัดการยอมรับและการใช้งานภายในองค์กรของฉันได้อย่างไร

สถาปัตยกรรม

เป็นการดีที่สุดที่จะทำความคุ้นเคยกับสภาพแวดล้อมเป็นขั้นตอนแรก ในการสร้างเรื่องราวการกำกับดูแลที่เหมาะสมสำหรับบริษัทของคุณ สภาพแวดล้อมเป็นคอนเทนเนอร์ที่เก็บทรัพยากรทั้งหมดที่ใช้โดย Power Apps Power Automate และ Dataverse ภาพรวมสภาพแวดล้อม เป็นข้อมูลเบื้องต้นที่ดีที่ควรตรวจสอบจาก Dataverse คืออะไร ชนิดของ Power Apps, Microsoft Power Automate ตัวเชื่อมต่อ และ เกตเวย์ภายในองค์กร

การรักษาความปลอดภัย

ส่วนนี้แสดงกลไกที่มีอยู่ในการควบคุมผู้ที่สามารถเข้าถึง Power Apps ได้ในสภาพแวดล้อม และการเข้าถึงข้อมูล: ใบอนุญาต สภาพแวดล้อม บทบาทด้านสภาพแวดล้อม Microsoft Entra ID นโยบายการป้องกันการสูญหายของข้อมูล และตัวเชื่อมต่อผู้ดูแลระบบที่สามารถใช้กับ Power Automate

การให้สิทธิ์การใช้งาน

การเข้าถึง Power Apps และ Power Automate เริ่มต้นด้วยการมีใบอนุญาต ประเภทของใบอนุญาตที่ผู้ใช้กำหนดสินทรัพย์และข้อมูลที่ผู้ใช้สามารถเข้าถึงได้ ตารางต่อไปนี้แสดงความแตกต่างของทรัพยากรที่ผู้ใช้สามารถใช้ได้ ตามประเภทแผนของพวกเขาจากระดับสูง รายละเอียดสิทธิ์การใช้งานแบบละเอียดสามารถพบได้ใน ภาพรวมสิทธิ์การใช้งาน

แผน	คำอธิบาย
Microsoft 365 รวม:	สิ่งนี้ทำให้ผู้ใช้สามารถขยาย SharePoint และสินทรัพย์ Office อื่น ๆ ที่พวกเขามีอยู่แล้ว
รวมถึง Dynamics 365	ซึ่งช่วยให้ผู้ใช้สามารถปรับแต่งและขยายแอปการมีส่วนร่วมของลูกค้า (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing และ Dynamics 365 Project Service Automation) ที่พวกเขามีอยู่แล้ว
แผน Power Apps	สิ่งนี้ทำให้: ทำให้ตัวเชื่อมต่อขององค์กรและ Dataverse สามารถใช้งานได้ ผู้ใช้สามารถใช้ตรรกะทางธุรกิจที่แข็งแกร่งในทุกประเภทแอปพลิเคชัน และความสามารถในการจัดการ
ชุมชน Power Apps	ซึ่งทำให้ผู้ใช้ใช้ Power Apps, Power Automate, Dataverse และตัวเชื่อมต่อที่กำหนดเองในครั้งเดียวสำหรับการใช้งานส่วนบุคคล ไม่มีความสามารถในการแชร์แอป
ฟรี Power Automate	สิ่งนี้ช่วยให้ผู้ใช้สร้างโฟลว์ได้ไม่จำกัดและดำเนินการเรียกใช้ 750 ครั้ง
แผน Power Automate	See คู่มือการให้สิทธิ์การใช้งาน Microsoft Power Apps และ Microsoft Power Automate

สภาพแวดล้อม

หลังจากผู้ใช้มีสิทธิ์การใช้งาน สภาพแวดล้อมจะมีอยู่เป็นคอนเทนเนอร์สำหรับทรัพยากรทั้งหมดที่ใช้โดย Power Apps Power Automate และ Dataverse สภาพแวดล้อมสามารถใช้เพื่อกำหนดกลุ่มเป้าหมายที่แตกต่างกันและ / หรือเพื่อวัตถุประสงค์ที่แตกต่างกันเช่นการพัฒนาการทดสอบและการทำงานจริง ข้อมูลเพิ่มเติมสามารถพบได้ใน ภาพรวมสภาพแวดล้อม

ทำให้ข้อมูลและเครือข่ายของคุณปลอดภัย

• Power Apps และ Power Automate ไม่ให้ผู้ใช้สามารถเข้าถึงสินทรัพย์ข้อมูลใดๆ ที่พวกเขาไม่ได้มีการเข้าถึงอยู่แล้ว ผู้ใช้ควรมีสิทธิ์เข้าถึงข้อมูลที่พวกเขาจำเป็นต้องเข้าถึง
• นโยบายการควบคุมการเข้าถึงเครือข่ายยังสามารถนำไปใช้กับ Power Apps และ Power Automate สำหรับสภาพแวดล้อม สามารถปิดกั้นการเข้าถึงเว็บไซต์จากภายในเครือข่าย โดยการปิดกั้นหน้าลงชื่อเข้าใช้เพื่อป้องกันไม่ให้การเชื่อมต่อไปยังเว็บไซต์นั้นถูกสร้างขึ้นใน Power Apps และ Power Automate
• ในสภาพแวดล้อม การเข้าถึงจะได้รับการควบคุมในสามระดับ: บทบาทด้านสิ่งแวดล้อม สิทธิ์ทรัพยากรสำหรับ Power Apps Power Automate ฯลฯ และ บทบาทความปลอดภัยของ Dataverse (หาก Dataverse มีการจัดเตรียมฐานข้อมูล)
• เมื่อมีการสร้าง Dataverse ในสภาพแวดล้อม บทบาท Dataverse จะเข้าควบคุมการรักษาความปลอดภัยในสภาพแวดล้อม (และผู้ดูแลระบบและผู้สร้างระบบทั้งหมดจะถูกย้าย)

หลักการต่อไปนี้ได้รับการสนับสนุนสำหรับแต่ละประเภทบทบาท

ชนิดของสภาพแวดล้อม	บทบาท	ชนิดหลัก (Microsoft Entra ID)
สภาพแวดล้อมที่ไม่มี Dataverse	บทบาทสภาพแวดล้อม	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: แอปพื้นที่ทำงาน	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: Power Automate ตัวเชื่อมต่อที่กำหนดเอง เกตเวย์ การเชื่อมต่อ 1	ผู้ใช้ กลุ่ม
สภาพแวดล้อมที่มี Dataverse	บทบาทสภาพแวดล้อม	User
	การอนุญาตให้ใช้ทรัพยากร: แอปพื้นที่ทำงาน	ผู้ใช้ กลุ่ม ผู้เช่า
	การอนุญาตให้ใช้ทรัพยากร: Power Automate ตัวเชื่อมต่อที่กำหนดเอง เกตเวย์ การเชื่อมต่อ 1	ผู้ใช้ กลุ่ม
	บทบาท Dataverse (ใช้กับแอปและส่วนประกอบที่เป็นแบบโมเดลทั้งหมด)	User

¹สามารถแชร์ได้เฉพาะบางการเชื่อมต่อ (เช่น SQL)

หมายเหตุ

• ในสภาพแวดล้อมเริ่มต้นผู้ใช้ทั้งหมด ผู้เช่าจะได้รับสิทธิ์การเข้าถึงบทบาทตัวสร้างสภาพแวดล้อม
• ผู้ใช้ที่มีบทบาทผู้ดูแลระบบ Power Platform มีสิทธิ์เข้าถึงของผู้ดูแลระบบในทุกสภาพแวดล้อม

คำถามที่ถามบ่อย - สิทธิ์ใดมีอยู่ที่ Microsoft Entra ในระดับผู้เช่า

ทุกวันนี้ผู้ดูแลระบบ Microsoft Power Platform สามารถทำสิ่งต่อไปนี้:

1. ดาวน์โหลด Power Apps และ Power Automate รายงานสิทธิ์
2. สร้างนโยบาย DLP ที่กำหนดขอบเขตเฉพาะ 'สภาพแวดล้อมทั้งหมด' หรือกำหนดขอบเขตเพื่อรวม/ยกเว้นสภาพแวดล้อมเฉพาะ
3. จัดการและกำหนดสิทธิ์ใช้งานผ่านทางศูนย์การจัดการ Office
4. เข้าถึงความสามารถด้านสภาพแวดล้อม แอป และการจัดการโฟลว์ทั้งหมดสำหรับสภาพแวดล้อมทั้งหมดในผู้เช่าที่มีให้ผ่าน:
   • Power Apps ผู้ดูแลระบบ PowerShell cmdlets
   • Power Apps ตัวเชื่อมต่อการจัดการ
5. เข้าถึงการวิเคราะห์ของผู้ดูแลระบบใน Power Apps และ Power Automate สำหรับสภาพแวดล้อมทั้งหมดในผู้เช่า:
   • https://aka.ms/paadminanalytics
   • https://aka.ms/flowadminanalytics

พิจารณา Microsoft Intune

ลูกค้าที่มี Microsoft Intune สามารถกำหนดนโยบายการป้องกันแอปพลิเคชันมือถือสำหรับแอป Power Apps และ Power Automate Android และ iOS คำแนะนำนี้เน้นการตั้งค่านโยบายผ่าน Intune สำหรับ Power Automate

พิจารณาการเข้าถึงตามเงื่อนไขตามสถานที่

สำหรับลูกค้าที่มี Microsoft Entra ID P1 หรือ P2 นโยบายการเข้าถึงที่มีเงื่อนไขสามารถกำหนดได้ใน Azure สำหรับ Power Apps และ Power Automate การอนุญาตนี้อนุญาตหรือปิดกั้นการเข้าถึงโดยขึ้นอยู่กับ: ผู้ใช้ / กลุ่ม อุปกรณ์ สถานที่

การสร้างนโยบายการเข้าถึงแบบมีเงื่อนไข

1. เข้าสู่ระบบ https://portal.azure.com
2. เลือก การเข้าถึงแบบมีเงื่อนไข
3. เลือก + นโยบายใหม่
4. เลือกผู้ใช้และกลุ่มที่เลือก
5. เลือก แอประบบคลาวด์ทั้งหมด>แอประบบคลาวด์ทั้งหมด>Common Data Service เพื่อควบคุมการเข้าถึงแอป Customer Engagement
6. ใช้เงื่อนไข (ความเสี่ยงของผู้ใช้ แพลตฟอร์มอุปกรณ์ สถานที่)
7. เลือก สร้าง

ป้องกันการรั่วไหลของข้อมูล ด้วยนโยบายการป้องกันข้อมูลสูญเสีย

นโยบายการป้องกันการสูญหายของข้อมูล (DLP) บังคับใช้กฎที่ตัวเชื่อมต่อที่สามารถใช้ร่วมกัน โดยการจัดประเภทตัวเชื่อมต่อเป็นข้อมูลธุรกิจเท่านั้นหรือไม่อนุญาตให้ใช้ข้อมูลธุรกิจ กล่าวอย่างง่ายก็คือ ถ้าคุณใส่ตัวเชื่อมต่อในกลุ่มที่มีเพียงข้อมูลธุรกิจ จะสามารถใช้ตัวเชื่อมต่อกับตัวเชื่อมต่ออื่นจากกลุ่มนั้นในแอปพลิเคชันเดียวกันได้เท่านั้น ผู้ดูแลระบบ Power Platform สามารถกำหนดนโยบายที่ใช้กับสภาพแวดล้อมทั้งหมดได้

คำถามที่ถามบ่อย

ถาม: ฉันสามารถควบคุมในระดับผู้เช่าได้หรือไม่ว่ามีตัวเชื่อมต่อใดบ้างที่พร้อมใช้งาน เช่น ไม่ สำหรับ Dropbox หรือ Twitter แต่ ใช่ สำหรับ SharePoint

ตอบ: เป็นไปได้โดยใช้ความสามารถของ การจัดประเภทตัวเชื่อมต่อ และการกำหนดตัวแยกประเภท ถูกบล็อก ให้กับตัวเชื่อมต่ออย่างน้อยหนึ่งรายการที่คุณไม่ต้องการให้มีการใช้งาน มี ชุดตัวเชื่อมต่อที่บล็อกไม่ได้

ถาม: แล้วการใช้งานตัวเชื่อมต่อร่วมกันระหว่างผู้ใช้ล่ะ ตัวอย่างเช่น ตัวเชื่อมต่อสำหรับ Teams เป็นตัวเชื่อมต่อทั่วไปที่สามารถแชร์ได้หรือไม่

ตัวเชื่อมต่อสามารถใช้ได้กับผู้ใช้ทั้งหมด ยกเว้นตัวเชื่อมต่อแบบพรีเมียมหรือแบบกำหนดเอง ซึ่งต้องการสิทธิ์ใช้งานอื่น (ตัวเชื่อมต่อแบบพรีเมียม) หรือต้องมีการแชร์อย่างชัดเจน (ตัวเชื่อมต่อแบบกำหนดเอง)

การดำเนินการและการแจ้งเตือน

นอกเหนือจากการตรวจสอบ แล้วลูกค้าจำนวนมากต้องการสมัครสมาชิกเพื่อกิจกรรมด้านการสร้างซอฟต์แวร์ การใช้งานซอฟต์แวร์ หรือคุณภาพของซอฟต์แวร์ เพื่อให้พวกเขารู้ว่าจะต้องดำเนินการเมื่อใด ส่วนนี้แสดงวิธีการบางส่วน ในการร่วมสังเกตกิจกรรม (ด้วยตนเองและโดยทางโปรแกรม) และดำเนินการที่เกิดขึ้นจากเหตุการณ์ที่เกิดขึ้น

สร้างโฟลว์ Power Automate เพื่อแจ้งเตือนเกี่ยวกับเหตุการณ์การตรวจสอบที่สำคัญ

1. ตัวอย่างของการแจ้งเตือนที่สามารถดำเนินการได้คือการสมัครรับข้อมูลบันทึกการตรวจสอบความปลอดภัยและการปฏิบัติตามกฎระเบียบ Microsoft 365
2. สิ่งนี้สามารถทำได้ผ่านทั้งการสมัครสมาชิก webhook หรือการ การลงคะแนนเลือกตั้ง อย่างไรก็ตาม ในการแนบ Power Automate กับการแจ้งเตือนเหล่านี้เราสามารถให้ความสามารถแก่ผู้ดูแลระบบได้มากกว่าการแจ้งเตือนทางอีเมล

สร้างนโยบายที่คุณต้องการด้วย Power Apps Power Automate และ PowerShell

1. เหล่า PowerShell cmdlets นี้ มอบการควบคุมเต็มรูปแบบในมือของผู้ดูแลระบบ เพื่อกำหนดนโยบายการกำกับดูแลที่จำเป็นโดยอัตโนมัติ
2. ตัวเชื่อมต่อ Power Platform for Admins V2 (พรีวิว) และ การจัดการ Power Automate ให้การควบคุมระดับเดียวกัน แต่มีความสามารถในการขยายเพิ่มเติมและใช้งานง่ายโดยการใช้ Power Apps และ Power Automate
3. ตรวจสอบ แนวทางปฏิบัติที่ดีที่สุดสำหรับผู้ดูแลระบบและการกำกับดูแล Power Platform และพิจารณาตั้งค่า ชุดเริ่มต้น Center of Excellence (CoE)
4. ใช้ บล็อกและเทมเพลตแอป นี้เพิ่มความเร็วในการเชื่อมต่อการจัดการ
5. นอกจากนี้ ยังควรตรวจสอบเนื้อหาที่แบ่งปันใน Community Apps Gallery นี่เป็นอีกตัวอย่างหนึ่งของประสบการณ์การดูแลระบบที่สร้างโดยใช้ Power Apps และตัวเชื่อมต่อผู้ดูแลระบบ

คำถามที่ถามบ่อย

ปัญหา ปัจจุบันผู้ใช้ทั้งหมดที่มีสิทธิ์การใช้งาน Microsoft E3 สามารถสร้างแอปในสภาพแวดล้อมเริ่มต้นได้ เราจะเปิดใช้สิทธิ์ผู้สร้างสภาพแวดล้อมให้กับกลุ่มที่เลือกได้อย่างไร เป็นต้น มี 10 คนที่จะสร้างแอปใช่หรือไม่

คำแนะนำ

PowerShell cmdlets และ ตัวควบคุมการจัดการ ให้ความยืดหยุ่นและการควบคุมเต็มรูปแบบแก่ผู้ดูแลระบบ เพื่อสร้างนโยบายที่พวกเขาต้องการสำหรับองค์กรของพวกเขา

ตรวจสอบ

เป็นที่เข้าใจกันดีว่าการตรวจสอบเป็นสิ่งสำคัญในการจัดการซอฟต์แวร์ในวงกว้าง ส่วนนี้เน้นสองวิธีในการรับข้อมูลเชิงลึกใน Power Apps และการพัฒนาและการใช้งาน Power Automate

ตรวจสอบหลักฐานการตรวจสอบ

การบันทึกกิจกรรมสำหรับ Power Apps ถูกรวมเข้ากับศูนย์ความปลอดภัยและการปฏิบัติตามกฎระเบียบของ Office สำหรับการบันทึกที่ครอบคลุมในบริการต่างๆของ Microsoft เช่น Dataverse และ Microsoft 365 Office จัดทำ API เพื่อสืบค้นข้อมูลนี้ ซึ่งผู้ขาย SIEM จำนวนมากใช้ในปัจจุบันเพื่อใช้ข้อมูลการบันทึกกิจกรรมสำหรับการรายงาน

ดูรายงานใบอนุญาต Power Apps และ Power Automate

1. ไปที่ ศูนย์การจัดการ Power Platform

2. เลือก การวิเคราะห์>Power Automate หรือ Power Apps

3. ดูการวิเคราะห์ผู้ดูแลระบบของ Power Apps และ Power Automate

   คุณสามารถรับข้อมูลต่อไปนี้ได้

   • ผู้ใช้ที่ใช้งานอยู่และการใช้งานแอป - มีผู้ใช้งานกี่คนที่ใช้งานแอปอยู่และบ่อยแค่ไหน?
   • สถานที่ - การใช้งานอยู่ที่ไหน
   • บริการประสิทธิภาพของตัวเชื่อมต่อ
   • การรายงานข้อผิดพลาด - แอปไหนมีแนวโน้มที่จะเกิดข้อผิดพลาดมากที่สุด
   • โฟลว์ที่ใช้งานตามประเภทและวันที่
   • โฟลว์ที่สร้างตามประเภทและวันที่
   • การตรวจสอบในระดับโปรแกรมประยุกต์
   • สถานะของการบริการ
   • ตัวเชื่อมต่อที่ใช้

ดูว่าผู้ใช้ใดได้รับใบอนุญาต

คุณสามารถดูการให้สิทธิ์ใช้งานของผู้ใช้แต่ละรายได้ในศูนย์การจัดการ Microsoft 365 โดยเจาะลึกผู้ใช้เฉพาะ

คุณยังสามารถใช้คำสั่ง PowerShell ต่อไปนี้เพื่อส่งออกสิทธิ์การใช้งานสำหรับผู้ใช้ที่ได้รับมอบหมาย

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

ส่งออกสิทธิ์การใช้งานสำหรับผู้ใช้ที่ได้รับมอบหมายทั้งหมด (Power Apps และ Power Automate) ในผู้เช่าของคุณลงในไฟล์ .csv มุมมองแบบตาราง ไฟล์ที่ส่งออกมีทั้งแผนการทดลองใช้งานภายในที่มีการลงทะเบียนแบบบริการตนเองและแผนที่มีที่มาจาก Microsoft Entra ID แผนการทดลองใช้ภายในไม่ปรากฏแก่ผู้ดูแลระบบในศูนย์การจัดการ Microsoft 365

การส่งออกอาจใช้เวลาสักครู่สำหรับผู้เช่าที่มีผู้ใช้ Power Platform จำนวนมาก

ดูทรัพยากรแอปที่ใช้ในสภาพแวดล้อม

1. ใน ศูนย์จัดการ Power Platform เลือกสภาพแวดล้อม ในแมนูนำทาง
2. เลือกสภาพแวดล้อม
3. หรือ อาจเลือกดาวน์โหลดรายการทรัพยากรที่ใช้ในสภาพแวดล้อมเป็น. csv

ข้อมูลที่เกี่ยวข้อง

• ใช้แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยและควบคุมสภาพแวดล้อม Power Automate
  
• ชุดเริ่มต้น Microsoft Power Platform Center of Excellence (CoE)