激活托管环境
本白皮书描述了托管环境的主要特性和功能及其对组织和管理员的益处。
备注
您可以从浏览器中选择打印,然后选择另存为 PDF 来保存或打印本白皮书。
托管环境概述
托管环境是一套高级治理功能,允许 IT 管理员以更大的控制力、更高的可见性和更少的工作量来大规模管理 Power Platform。 任何类型的环境都可以托管。 环境得到托管后,就会在 Power Platform 释放出更多的功能。 了解如何启用托管环境。
在本白皮书中,您将了解以下功能,并获得基于已激活托管环境的组织的示例:
- Power Platform 中的管道应用应用程序生命周期管理 (ALM) 自动化,以减少工作量来简化开发过程。
- 制作者欢迎内容向组织中的制作者发送自定义消息,以帮助他们开始使用 Power Apps。
- 限制共享为用户分享画布应用的范围增加了限制。
- 使用情况洞察是每周摘要电子邮件,可让管理员随时了解应用使用情况和用户活动。
- 数据策略可以轻松查看和识别。
- 解决方案检查器实施根据一套最佳实践规则检查您的解决方案,以识别有问题的模式。
- IP 防火墙通过将用户对 Dataverse 的访问限制为允许的 IP 地址来保护组织数据。
- IP cookie 绑定通过基于 IP 地址的 cookie 绑定来防止 Dataverse 中的会话劫持漏洞。
- 客户管理密钥提供额外的数据保护,使用您自己密钥库中的加密密钥来加密您的数据。
- 客户密码箱提供一个界面,您可以在其中批准来自 Microsoft 支持部门的数据访问请求。
- 延长备份将备份保留期从 7 天延长至 28 天。
- 桌面流的 DLP 管理 Power Automate 中的桌面流模型和单个模型操作。
- 将数据导出到 Application Insights 有助于诊断和排除与错误和性能相关的问题。
- Power Platform 中的目录通过大规模共享 Power Platform 项目来促进协作和提升生产力。
- 默认环境路由自动将新的制作者引导至他们自己的个人开发者环境。
Power Platform 中的管道
Power Platform中的管道以一种更容易接受的方式,为 Power Platform 和 Dynamics 365 客户带来 ALM 最佳实践、自动化以及持续集成和持续交付 (CI/CD) 功能。
在组织中,IT 管理员或治理团队成员就如何将解决方案部署到不同的环境中提供指导是很常见的。 集中管理和治理的管道为制作者提供了直观的用户体验和更轻松的解决方案部署。
要使用管道将解决方案从一个环境(通常指定为源环境)部署到另一个环境(通常指定为目标环境),您需要确定哪些环境是管道的一部分。 最常见的管道由开发/测试/生产或开发/验证/测试/生产环境组成。 下面是一个管道示例:
我们建议将所有环境都放在管道托管环境中,但是开发环境可以在管道中使用而无需托管。
作为一种最佳实践,个人生产力解决方案应该在个人开发环境中开发,然后可以使用管道将其部署到目标环境中。 当您创建环境以促进平民主导和专业开发人员主导的项目的 ALM 规模化时,您也可以考虑设置管道。
制作者欢迎内容
在托管环境中,管理员可以提供定制的欢迎内容来帮助他们的制作者开始使用 Power Apps。 自定义欢迎消息可以在制作者第一次访问 Power Apps 时,告知他们公司的规则以及他们在每个环境或环境组中可以做什么。
以下是关于您的组织如何在各种环境中使用欢迎消息的一些建议。 包括标识环境类型或所有者的图像,以帮助用户采用和防止错误。
默认环境
默认环境通常最受限制,具有数据丢失防护 (DLP) 策略和共享控制。 创建一条欢迎消息,警告您的制作者有关限制和可能的限制,并包含指向您组织的政策网站或文档的链接。
例如,您可能希望通知制作者仅将默认环境用于与 Microsoft 365 应用程序相关的解决方案,不要在默认环境中使用生产应用程序,并且仅与有限数量的个人共享其画布应用程序。 以下示例显示了如何在托管环境设置中创建此类消息:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to Contoso Personal Productivity Environment
### Before you start, here are some considerations
Use this environment if you plan to build apps that integrate with Office 365.
Before you start, be aware of these limitations:
1. You can't share your apps with more than five users.
1. The data in Dataverse is shared with everyone in the organization.
1. You can only use Office 365 connectors.
If you're not sure you're in the right place, follow [this guidance**](#).
下面是呈现的欢迎消息:
生产环境
生产环境通常用于部署支持企业和团队生产力的解决方案。 应用程序和数据遵守组织政策非常重要。 由于您需要控制哪些用户可以访问生产环境,因此如果您有刷新访问权限的策略,最好通知用户。 在生产环境中,您可能允许更多的连接器并增加共享限制。 您还可以使用欢迎信息来通知合适团队的制作者,以寻求支持。 以下示例显示了如何创建此类消息:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to HR Europe Environment
### Before you start, here are some considerations
Use this environment if you're on the HR team and your data is located in Europe.
Before you start, be aware of these limitations:
1. You can only share apps with security groups. [Follow this process](#) to share your apps.
1. The data in Dataverse is stored in Europe.
1. You can only use social media connectors with read actions.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
开发人员环境
开发环境通常是开发人员构建解决方案的地方。 由于开发人员正在开发应用程序,他们不在生产环境中工作,因此可扩展性有限。 通常,由于制作者的性质,开发环境具有更宽松的 DLP。 为避免开发人员在开发环境中使用生产资产,应限制共享功能,并针对此类环境使用特定的 DLP。 下面是开发环境欢迎信息的示例:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Developer Environment
### Before you start, here are some considerations
Use this environment if you're a developer and you're building solutions.
Before you start, be aware of these limitations:
1. You can only share resources with up to two members of your team. If you need to share with more people, [submit a change request](#).
1. Use resources only while you're developing a solution.
1. Be mindful of the connectors and data you're using.
1. If you need more connectors, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
沙箱环境
沙箱环境通常用于测试解决方案。 由于某些测试涉及大量用户,因此这些环境会在一定程度上进行扩展,容量也比开发人员环境大。 沙箱环境也常用作开发环境,通常由多个开发人员共享。 以下是此类环境的欢迎信息示例:
[Contoso](https://i.ibb.co/SNSTCx3/something.png)
## Welcome to a Test Environment
### Before you start, here are some considerations
Use this environment only if you're testing solutions.
Before you start, be aware of these limitations:
1. You can only share resources with your team. If you need to share with more people, [submit a change request](#).
1. You're not allowed to edit or import solutions directly in this environment.
1. Be mindful of the test data and compliance.
1. If you need help from a security export or IT support, [submit a request](#).
If you're not sure you're in the right place, follow [this guidance**](#).
限制共享
在托管环境中,管理员可以限制用户共享画布应用程序的范围。 不过,该限制仅适用于未来的共享。 如果您将共享限制设为 20,而环境中的应用程序已与超过 20 位用户共享,则这些应用程序将继续为所有已共享应用程序的用户运行。 您应该制定一个流程,通知共享用户数超过新限制的应用程序的制作者减少共享用户数量。 在某些情况下,您可能会决定将解决方案转移到其他环境。 共享限制仅适用于画布应用程序。
管理员通常需要控制制作者何时共享应用程序:
在个人生产力环境中共享应用程序。 如果在您的环境中,用户可以为自己的工作创建应用程序,或者创建没有全局业务价值的应用程序,或者创建没有 IT 支持的应用程序,那么您一定不能允许制作者在整个组织内共享这些应用程序。 如果应用程序一开始是个人生产力应用程序,但后来变得流行并被广泛使用,则要注意设置共享限制。 一般限制在 5 到 50 个用户之间。
应用程序可与安全组或所有人共享。 与安全组共享的应用程序可由该组的所有成员运行。 在开发人员环境中,您可能希望开发人员控制应用程序的共享方式,而不是依赖于组成员资格。 在其他情况下,您可能希望允许与所有人共享。 如果贵组织的政策是,应用程序与一个安全组共享,该安全组包括有权运行应用程序的所有用户,并由 IT 部门管理,那么您可能希望限制制作者与其他安全组共享。
以下是每种环境类型的常见共享限制:
默认:选择排除与安全组的共享,选择将可以共享的个人总数限制为,并选择 20 作为值。
开发人员:选择排除与安全组的共享,选择将可以共享的个人总数限制为,然后选择 5 作为值。
沙盒:选择排除与安全组共享,不选择将可以共享的个人总数限制为。 如果应用程序是与 IT 托管的安全组共享的,该安全组包括有权运行应用程序的用户,请使用此选项。 如果制作者、用户或团队可以管理允许哪些用户测试解决方案,请选择不设置限制(默认)。
生产:选择不设置限制(默认)。 要基于特定安全组控制共享,请选择排除与安全组的共享,让将可以共享的个人总数限制为保持为未选中状态。
使用情况见解
管理员和授权用户可以通过每周摘要电子邮件提供的使用情况洞察和分析随时了解其托管环境中发生的情况。 了解哪些应用程序和流最受欢迎,哪些不活跃并可以安全清理。 电子邮件中的链接可直接进入资源进行深入分析。
分散的 IT 团队通常使用每周电子邮件向管理员通报托管环境的情况,因此收件人管理成为一项重要任务。 收件人的数量有限,因此我们建议使用 HR_Admins@contoso.com 这样的电子邮件通讯组列表,而不是单个地址。
数据策略
计划周密的环境策略包括强大的数据策略。 DLP 规定了哪些连接器可用,哪些连接器可以相互使用。 同一环境中可以激活多个 DLP,但以限制性最强的 DLP 为先。 如果一个 DLP 允许使用连接器 A,而另一个 DLP 阻止使用连接器 A,那么连接器就会被阻止。
环境中应用多个 DLP 的情况很常见,尤其是在同一环境中按国家/地区、部门或团队应用 DLP 的情况下。 对适用于环境的所有数据策略进行清晰的可视化至关重要。 最简单的方法就是托管环境。 在托管环境中,管理员可以轻松识别应用的所有 DLP。
解决方案检查器实施
卓越中心 (CoE) 团队通常会设置防护栏,以降低用户将不合规的解决方案导入环境的风险。 在托管环境中,管理员可以根据一套最佳实践规则,轻松对解决方案实施丰富的静态分析检查,以识别有问题的模式。 具有分散 CoE 的组织通常会发现有必要激活解决方案检查器强制执行功能,并通过电子邮件主动联系制作者以提供支持。
解决方案检查器执行提供三个控制级别:无、警告和阻止。 管理员可以配置检查的影响,是发出警告但允许导入,还是完全阻止导入,同时向制作者提供导入结果。
使用此功能的组织会根据环境类型进行不同的配置。 有例外是正常的,这种指导应该始终与您的需求保持一致。 不过,以下是每种环境类型中解决方案检查器执行的最常见设置:
默认设置:选择阻止和发送电子邮件。
开发人员:选择警告,不选择发送电子邮件。
沙盒:选择警告,不选择发送电子邮件。
生产:选择阻止和发送电子邮件。
Teams 环境:选择阻止和发送电子邮件。
IP 防火墙
默认情况下,所有 Dataverse 数据都可以通过 API 从任何 IP 地址访问,并受到身份验证的保护。 组织通常会限制对允许来源的访问,以减轻数据泄露等内部威胁。 托管环境中的 IP 防火墙通过限制用户只能从允许的 IP 地址访问来帮助保护 Dataverse 中的组织数据。 IP 防火墙实时分析每个请求的 IP 地址,并拒绝来自不允许地址的任何请求。
企业通常会将 IP 防火墙配置为允许来自办公场所的连接,并限制来自外部的连接。 最佳实践是将其与条件性访问结合使用,以避免不一致的策略和依赖项。
小费
如果您错误配置了这些策略,可能需要向 Microsoft 支持部门请求帮助。 您可以限制允许的 IP 之外的用户对 Power Apps 的访问,并限制以前允许的 Power Automate 操作。
IP cookie 绑定(阻止 cookie 重播攻击)
基于 IP 地址的 cookie 绑定可防止会话 cookie 攻击,如托管环境中的 cookie 重播攻击。 如果有人试图使用从已启用 IP cookie 绑定的授权计算机上窃取的会话 cookie 访问未授权计算机上的 Dataverse,则会阻止该尝试,并要求用户重新进行身份验证。 用户必须在以下情况下重新验证身份:
- 打开或关闭任何 VPN 客户端。
- 连接到无线热点。
- Internet 服务提供商重置 Internet 连接时
- 重置或重新启动路由器。
客户管理密钥
客户管理密钥 (CMK) 就像您在存储设备上装的一把锁。 与依赖存储公司进行看管不同的是,您可以自己保管锁的钥匙,并决定谁可以进入您的存储单元。 必须遵守有关数据安全和保密的法律法规的组织,可以使用自己的密钥对数据进行加密,以确保数据安全。 如果数据副本被盗,没有加密密钥就无法在其他服务器上恢复。
如果使用 CMK,就能保证只有自己才能获得解密信息的密钥。 没有加密密钥,包括 Microsoft 在内的任何人都无法访问您的加密数据。
与自带密钥 (BYOK) 模式相比,CMK 更具优势。 您可以为不同的环境使用不同或多个加密密钥,还可以在自己的密钥库中更好地管理加密密钥。 从 BYOK 升级到 CMK 还可将您的环境开放给使用非 SQL 存储的所有其他 Power Platform 服务,如客户洞察和分析、更大的文件上传大小、更具成本效益的审核保留审核存储、弹性表服务、Dataverse 搜索和长期保留。 如果您的组织正在使用 BYOK,我们建议迁移到 CMK。
使用 CMK 的组织应制定严格的程序来保护和更新客户管理的加密密钥。
客户密码箱
Microsoft 人员执行的大多数操作、支持和故障排除工作都不需要访问客户数据。 但是,在极少数情况下,Microsoft 人员需要出于调查目的对客户数据进行有限访问。 Microsoft 有一套多层次的内部审批流程,在需要时允许访问客户数据,但许多组织需要或希望对 Microsoft 访问其数据的方式进行更多控制。 利用 Power Platform 客户密码箱,客户可以审查、批准和拒绝 Microsoft 的数据访问请求。
激活客户密码箱后,如果您的支持工单要求我们对您的数据进行有限访问,您组织的 Power Platform 管理员就会收到请求。 如果请求获得批准,正在处理您的工单的 Microsoft 人员只能访问请求环境中的数据,并且只能在一定时间内访问。 此外,他们的访问权限不会自动更新。 每次需要数据访问时,管理员都会收到新的客户密码箱请求。 所有请求和更新都会自动记录在审核日志中。
扩展备份(7 到 28 天)
定期、频繁的备份可以保护 Power Platform 和 Dataverse 中的数据免受不利事件的风险。 如果您使用 Power Platform 创建安装了 Dataverse 数据库和 Dynamics 365 应用程序的生产环境,这些环境将自动备份并存储长达 28 天。 如果生产环境没有安装 Dynamics 365 应用程序,备份将存储七天。 但是,对于托管环境,管理员可以使用以下 PowerShell 命令将备份保留期延长至 14、21 或 28 天:
Set-AdminPowerAppEnvironmentBackupRetentionPeriod -EnvironmentName <YourEnvironmentID> -NewBackupRetentionPeriodInDays 28
桌面流 DLP
在 Power Automate 中,您可以创建数据丢失预防策略,将桌面流模块和单个模块操作分类为业务、非业务或阻止。 以这种方式对其进行分类可以防止制作者在桌面流中或者在云端流及其所使用的桌面流之间组合不同类别的模块和操作,而是仅在托管环境中。 尽管您可以在非托管环境中为桌面流创建 DLP 策略,但这些策略不会强制执行。
默认情况下,创建 DLP 策略时不会显示桌面流的操作组。 管理员需要在 Power Platform 管理中心中打开租户设置在 DLP 策略中显示桌面流操作。
您组织中的任何人都可以在默认环境中创建 Windows 桌面流。 为桌面流制定 DLP 战略与为云端流制定 DLP 战略一样重要,以确保制作者遵守组织政策。 例如,如果您的策略阻止在用户电脑上运行脚本,您应该阻止制作者使用运行脚本操作创建桌面流。 同样,如果您的策略限制在云端流中使用 HTTP 连接器,那么阻止桌面流程中的类似操作是一个好主意。
如果您不确定 DLP 政策将如何影响制作者的桌面流程,请使用自动化工具包中的 DLP 影响分析工具。
将数据导出到 Application Insights
Application Insights 可以从 Dataverse 接收诊断和性能数据,您可以使用这些数据对错误和性能问题进行诊断和故障排除。 组织使用 Application Insights(Azure Monitor 的一项功能)来更好地控制其资产。
如果您有 Dataverse 环境,您可以使用数据流来监视 Dataverse API 传入调用、Dataverse 插件执行调用和 Dataverse SDK 调用的性能,并监视插件和 Dataverse SDK 操作中的故障。 您可以将您的应用程序连接到 Application Insights 以了解用户使用它们做什么,收集信息以推动更好的业务决策,并提高应用程序的质量。 例如,下面的屏幕截图显示了模型驱动应用的每次操作的计数和平均持续时间。 这些信息有助于确定对应用程序用户影响最大的操作。
您可以使用 Application Insights 和过滤器来检测任何失败的流并创建警报。 以下示例显示了如何针对特定云端流中的故障创建自定义警报和过滤器。 有关更多示例,请参见使用 Power Automate 设置 Application Insights。
let myEnvironmentId = **'Insert your environment ID here**;
let myFlowId = **Insert your flow ID here** ';
requests
| where timestamp > ago(**1d**)
| where customDimensions ['resourceProvider'] == 'Cloud Flow'
| where customDimensions ['signalCategory'] == 'Cloud flow runs'
| where customDimensions ['environmentId'] == myEnvironmentId
| where customDimensions ['resourceId'] == myFlowId
| where success == false
Power Platform 中的目录
Power Platform 中的目录是一个中心位置,制作者和开发人员可以在此发现和共享解决方案、模板和代码组件,以便在整个组织中重复使用。 还为管理员提供了一个存储和维护 Power Platform 项目的中心位置,并提供了管理功能和审批工作流,以确保符合监管和法律要求。
制作者和开发者向目录提交解决方案、模板和组件,帮助同事解决业务问题。 管理员和业务审批人员对其进行审查和批准。 该目录作为 Power Platform 项目的单一事实来源,可以对其进行管理和控制,以加速制作者和开发人员的价值。 它简化了查找、创建和共享解决方案和模板的流程,使组织更容易将应用程序应用于业务问题并实现其目标。
鼓励开发者和制作者在目录中构建和共享组件和模板的组织,能从他们对 Power Platform 的投资中获得更多价值。 仅仅构建是不够的。 大规模共享项目可以培养社区和支持团体,从而从组织中的各类人员中释放价值。 事实上,Power Platform 最成功的组织采用的是融合团队模式,即专业开发人员、制作人员和管理员一起工作,通过重复使用解决方案、模板和组件,帮助他们的员工从平台中获得尽可能高的价值。
默认环境路由
默认环境路由是一项高级治理功能,Power Platform 管理员可以在新制作者首次访问 Power Apps 时使用该功能自动将其引导至他们自己的个人开发者环境。 默认环境路由为新制作者提供了一个安全的个人空间,让他们可以使用 Microsoft Dataverse 进行制作,而不必担心他人会访问他们的应用程序或数据。
使用托管环境的注意事项
当您考虑使用托管环境时,您应该注意一些事项。
治理:托管环境、CoE 初学者工具包还是两者都有?
托管环境是一组功能,旨在通过给予管理员更多的控制并减少管理员的工作量来简化 Power Platform 的治理,这是许多组织热切期望的。 许多组织的治理流程都受到了 CoE 初学者工具包的影响。 其他则基于该套件的开箱即用功能,并进行扩展以满足组织的特定需求。 还有一些人使用 CoE 初学者工具包来扩展托管环境的治理功能。
托管环境工程团队与负责初学者工具包的团队 Power CAT 密切合作,确定工具包中最常用的功能并将其添加到托管环境中。 因此,这两款产品都提供了一些功能。 当您使用托管环境时,产品内功能由 Microsoft 管理和支持。 您不需要更新或维护,它们会随着 Power Platform 发布波次自动更新。 如果您的组织使用 CoE 初学者工具包,建立和维护每月更新该工具包的内部流程非常重要。 遵循 CoE 初学者工具包办公时间中的建议。
推荐的方法是两者都用:从托管环境开始,用初学者工具包填补任何空白。 如何决定是否在 CoE 初学者工具包中使用托管环境。
由于该工具包是社区驱动的,因此不受与我们的许可产品相同的服务级别协议的约束。 请访问 GitHub 网站报告错误、提出问题并申请新功能。
如果您计划停用托管环境
务必要了解如果您的组织停止使用托管环境会发生什么情况。 下表描述了对制作者和管理员的影响。
特性 | 制作者影响 | 管理员影响 |
---|---|---|
制作者欢迎 | 间接:他们在进入环境时不再看到欢迎信息。 | 间接:他们无法在环境中定义自定义欢迎信息。 |
限制共享 | 直接:他们可以与任何安全组和用户共享应用程序。 | 间接:他们无法控制如何共享环境中的应用程序。 |
使用情况见解 | None | 直接:他们和任何其他收件人将停止接收每周电子邮件摘要。 |
数据策略 | None | 间接:执行 DLP,但管理员无法对环境应用多个 DLP。 |
Power Platform 中的管道 | 直接:他们无法使用管道部署解决方案。 | None |
解决方案检查器实施 | 间接:他们可以导入任何解决方案,而无需检查错误、安全性和不合规资产。 | None |
客户管理密钥 | None | 间接:功能有限。 |
IP 防火墙 | None | 间接:功能有限。 |
客户密码箱 | None | 间接:功能有限。 |
扩展备份(7 到 28 天) | None | 间接:功能有限。 |
桌面流 DLP | 直接:他们可以运行之前阻止的操作。 | None |
导出至应用洞察 | None | 间接:功能有限。 |
Power Platform 中的目录 | None | 间接:功能有限。 |
托管环境的常用设置
如果您正在考虑激活托管环境,您可能会发现以下针对每种环境类型的示例设置非常有用:
默认环境
- 限制共享:排除与群组共享,将共享限制在 20 个人以内
- 解决方案检查器强制执行:阻止并发送电子邮件
- 使用情况洞察:开启
- 制作欢迎内容:定制,包括了解更多信息的链接
开发者环境
- 限制共享:不要设置限制
- 解决方案检查器强制执行:警告并且不发送电子邮件
- 使用情况洞察:关闭
- 制作欢迎内容:定制,包括了解更多信息的链接
沙盒环境
- 限制共享:不要设置限制
- 解决方案检查器强制执行:警告并且不发送电子邮件
- 使用情况洞察:开启
- 制作欢迎内容:定制,包括了解更多信息的链接
生产环境
- 限制共享:不要设置限制
- 解决方案检查器强制执行:阻止并发送电子邮件
- 使用情况洞察:开启
- 制作欢迎内容:定制,包括了解更多信息的链接
Teams 环境
- 限制共享:不要设置限制
- 解决方案检查器强制执行:阻止并发送电子邮件
- 使用情况洞察:开启
- 制作者欢迎内容:无内容或“了解更多”链接
如何决定是否在 CoE 初学者工具包中使用托管环境
CoE 初学者工具包提供了一套全面的功能来管理、治理和培养 Power Platform 采用。 它是我们通过开源、低代码模式进行试验和创新的产物,深受客户反馈的影响。 它的某些功能与托管环境的功能重叠,托管环境计划最终取代工具包的某些功能。 随着托管环境的不断发展,我们将继续为工具包添加新功能,以了解客户的兴趣。 CoE 初学者工具包无意重复托管环境中已有的功能。 它的重点是创新和解决客户未满足的要求,因为我们正在收集有关下一步需求的反馈。
您可以单独使用“托管环境”,也可以使用 CoE 初学者工具包来管理和控制 Power Platform 的采用。 您怎么知道该选择哪个选项呢?
我们建议从 Power Platform 管理中心和托管环境的默认功能开始。 它们功能强大,支持全面。 如果您发现需要更多的功能来管理您的租户,请检查 CoE 初学者工具包是否能补充您在托管环境中获得的开箱即用的功能。 每个组织都需要找到适合自身需求的最佳混合模式。
CoE 初学者工具包与托管环境
CoE 初学者工具包与托管环境之间的一些重要区别应该成为您考虑的一部分。
CoE 初学者工具包使用公开可用的 API 和操作在治理过程中应用防护措施。 治理过程是异步的,并且是被动发生的。 假设您的组织需要限制 20 名用户共享应用程序。 CoE 只能在超出限制后做出反应,这可能会导致不符合规定的资产。 另一方面,托管环境使用内置于产品中的私有 API,在超过共享限制之前强制实施共享限制。
托管环境根据客户反馈和使用 CoE 初学者工具包的客户的经验不断发展。 一些功能完全或部分重叠。 相反,企业可以使用初学者工具包的功能来完成托管环境无法完成的任务,反之亦然。 我们建议您阅读卓越中心 (CoE) 概述。
以下对托管环境和 CoE 初学者工具包功能的比较应该有助于指导您的决策。
托管环境功能:制作者欢迎内容在 CoE 初学者工具包中提供:部分
- 在托管环境中,管理员可以提供自定义的欢迎内容,在制作者第一次访问 Power Apps 时向其问候有关如何开始的信息。 CoE 初学者工具包提供一封欢迎电子邮件,仅在新制作者创建第一个应用程序、流或机器人之后才会发送给他们。
- 托管环境直接在制作者工作室中与新的制作者进行交流。 CoE 初学者工具包仅通过电子邮件进行通信。
- 托管环境允许管理员在每个环境中定制欢迎消息。 CoE 初学者工具包在所有环境中都有一条欢迎消息。
托管环境功能:限制共享在 CoE 初学者工具包中提供:非实时(被动)
管理员可以在初学者工具包中设置共享限制,但不能主动强制执行。 工具包中的共享限制仅用于向制作者发送合规通知和提醒。
托管环境功能:使用情况见解在 CoE 初学者工具包中提供:是
- 这两种解决方案都具有良好的库存和使用情况可视化。
- CoE 初学者工具包的报告将您的诊断和库存数据与来自 Microsoft Entra ID 的租户数据相结合,使您可以按部门、城市或国家/地区查找最活跃的制作者。
- 初学者工具包的报告使用 Power BI,这意味着您可以根据自己的需求“分割”数据,并使用 Power BI 行级安全性与其他管理组共享仪表板。 了解如何通过 CoE Power BI 仪表板深入了解您的 Power Platform 采用情况。
托管环境功能:数据策略在 CoE 初学者工具包中提供:是
CoE 初学者工具包包括一个 DLP 影响工具,该工具有助于了解激活或停用特定 DLP 对环境的影响。
托管环境功能:每周摘要在 CoE 初学者工具包中提供:部分
- CoE 初学者工具包没有针对管理员的每周摘要。 相反,管理员从 Power BI 仪表板上获取信息。
- 在托管环境中,非活动应用和流会在每周摘要电子邮件中突出显示。 CoE 初学者工具包有一个非活动通知流程,用于通知制作者其非活动资源并请求批准将其删除。
- 托管环境和 CoE 初学者工具包的主要目标之一是提供更多见解,使管理员能够采取行动。 CoE 初学者工具包在这方面具有优势。 它具有指导制作者管理资源的功能,使他们对自己的资源负责并减轻管理员的负担。
托管环境功能:Power Platform 中的管道在 CoE 初学者工具包中提供:部分
CoE 初学者工具包的一部分是另一个名为 ALM Accelerator for Power Platform 的工具包,它具有类似于管道的功能,包括用于两种解决方案之间集成的一些可扩展性。
托管环境功能:解决方案检查器实施在 CoE 初学者工具包中提供:否
由于这些解决方案与产品紧密集成,因此 CoE 初学者工具包无法检查。
托管环境功能:IP 防火墙在 CoE 初学者工具包中提供:否
托管环境功能:阻止 cookie 重播攻击在 CoE 初学者工具包中提供:否
托管环境功能:客户托管密钥在 CoE 初学者工具包中提供:否
托管环境功能:客户密码箱在 CoE 初学者工具包中提供:否
结束语
具有高级治理功能的托管环境是负责管理和治理 Power Platform 大规模采用的 IT 管理员的关键解决方案。 通过提供一套强大的工具和控制,它使治理团队能够在创新和安全性之间保持微妙的平衡。 凭借精确的访问控制、简化的解决方案部署和策略实施,托管环境为组织提供了基础,使其能够自信地利用 Power Platform 的全部潜力,同时确保合规性、数据完整性和最佳性能。 在一个数据治理至关重要的时代,这些功能使 Power Platform 成为现代企业 IT 战略的基石,提高管理员和利益相关方的效率,让他们高枕无忧。