共用方式為

安全性和控管考量

  • 發行項

許多客戶想知道如何將 Power Platform 應用在更廣泛的業務上,並獲得 IT 支援? 治理是解答。 它旨在讓業務群組能在符合 IT 和商務合規性標準的同時,有效地解決商務問題。 以下內容旨在建構常與管理軟體相關的主題,並讓人們了解每個與控管 Power Platform 相關的主題中可使用的功能。

主題 與此內容答案所屬的各主題相關常見問題
架構
  • Power Apps、Power Automate,和 Microsoft Dataverse的基本結構與概念是什麼?

  • 設計和執行階段時,如何將這些建構函式相符結合?
安全性
  • 安全性設計考量因素的最佳作法是什麼?

  • 如何使用我們現有的使用者和組管理解決方案來管理中的訪問和安全角色 Power Apps?
警示和動作
  • 我如何定義公民開發人員和受控 IT 服務之間的治理模型?

  • 我如何定義中央 IT 和商務單位管理員之間的治理模型?

  • 我應該如何在組織中受惠於非預設環境的支援方法?
監視
  • 我們如何捕獲合規性/稽核資料?

  • 我如何衡量組織內的採行與使用方式?

架構

為您的公司建立正確的治理案例時,首要步驟最好是讓自己熟悉環境。 環境是 Power Apps、Power Automate 和 Dataverse 使用的所有資源的容器。 環境概述 是一個很好的入門讀物,後面應該跟著 什麼是 Dataverse?類型 Power AppsMicrosoft Power Automate 連接器 內部部署網關

安全性

本節概述存在用來控制可在環境存取 Power Apps 及存取資料:授權、環境、環境角色、Microsoft Entra ID、可搭配 Power Automate 使用的防止資料遺失原則和管理員連接器等機制。

授權

對 Power Apps 和 Power Automate 存取從獲得權限開始。 使用者擁有的權限類型決定了使用者可以存取的資產和資料。 下表根據他們的方案類型,從最上層概述使用者可使用的資源差異。 您可以在授權概觀找到詳細的授權資料。

計劃 描述
Microsoft 365 已納入其中 這可讓使用者延伸 SharePoint 和其他已有的 Office 資產。
Dynamics 365 已納入其中 這讓使用者自訂與擴充他們已經有的客戶參與應用程式 (Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing 和 Dynamics 365 Project Service Automation)。
Power Apps 方案 這讓:
  • 使企業連接器和 Dataverse供人存取使用。
  • 使用者可以跨類型和管理功能使用健全的商務規則。
Power Apps 社群 這允許使用者在單個連接器中使用 Power Apps、 Power Automate、和 Dataverse自定義連接器以供個人使用。 無法共用應用程式。
Power Automate 免費 讓使用者可以建立無限流量,並進行 750 次執行。
Power Automate 方案 查看 Microsoft Power Apps 和 Microsoft Power Automate 授權指南.

環境

使用者獲得權限後,存在環境 Power Apps、Power Automate 和 Dataverse 使用的所有資源的容器。 環境可用於定位不同的受眾和/或用於不同的目的,例如開發、測試和生產。 更多資訊請參閱 環境概觀

保護您的資料和網路

  • Power Apps 並且 Power Automate 向使用者提供對他們尚無權訪問的任何數據資產的訪問許可權。 使用者應只能存取他們真正需要存取的資料。
  • 網路存取控制原則也適用 Power Apps 和 Power Automate。 對環境而言,人們可以藉由封鎖登入頁面,封鎖從網路內的網站存取,以避免連接到 Power Apps 和 Power Automate 建立的網站。
  • 在環境中,存取控制非為三個等級:環境角色、資源許可 Power Apps, Power Automate 等和 Dataverse 安全性角色 (如果 Dataverse 資料庫已佈建)。
  • 在環境中創建時 Dataverse , Dataverse 角色將接管控制環境中的安全性 (並且所有環境管理員和製作者都將遷移)。

下列主題支援各種角色類型。

環境類型 角色 主體類型 (Microsoft Entra ID)
沒有 Dataverse 的環境 環境角色 使用者、群組、租用戶
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
具有 Dataverse 的環境 環境角色 User
資源權限:畫布應用程式 使用者、群組、租用戶
資源權限:Power Automate、自訂連接器、閘道、連接1 使用者、群組
Dataverse 角色 (適用所有模型導向應用程式和元件) User

1只能共用特定連接 (例如 SQL)。

Note

  • 在預設環境中,租用戶中的所有使用者都會被授與環境製造者角色的存取權。
  • 具有 Power Platform 系統管理員角色的使用者具有對所有環境的管理員訪問許可權。

常見問題解答 - 租戶級別存在 Microsoft Entra 哪些許可權?

今天,Microsoft Power Platform 管理員可以執行下列動作:

  1. 下載 Power Apps & Power Automate 授權報表
  2. 建立僅限範圍為「所有環境」的 DLP 原則,或建立包含/排除特定環境的 DLP 原則
  3. 透過 Office 系統管理中心管理和轉讓授權
  4. 透過以下方式存取租用戶中所有可用環境的所有環境、應用程式及流程管理能力:
    • Power Apps 系統管理員 PowerShell Cmdlet
    • Power Apps 管理連接器
  5. 在租用戶中存取所有環境的 Power Apps 和 Power Automate 管理員分析:

考慮 Microsoft Intune

使用 Microsoft Intune 的客戶可以為 Power Apps and Power Automate Android 上的 iOS應用程式設置移動應用程式保護策略。 本演練強調透過 Intune 設定 Power Automate 原則。

考量位置為主的條件式存取

對於擁有 Microsoft Entra ID P1 或 P2 的客戶,可在 Azure 為 Power Apps 和 Power Automate 定義條件式存取原則。 這允許根據下列條件授予或封鎖存取:使用者/群組、裝置、位置。

建立條件式存取原則

  1. 登入 https://portal.azure.com
  2. 選取條件式存取
  3. 選取 + 新增原則
  4. 選擇 選定的使用者和組。
  5. 選取所有雲端應用程式>有雲端應用程式>Common Data Service 以控制對客戶參與應用程式的存取。
  6. 套用條件 (使用者風險、裝置平台、位置)。
  7. 選取 建立

防止資料外洩及資料流失預防原則

數據丟失防護策略(DLP) 通過將連接器分類為「僅業務數據」或「不允許業務數據」來強制實施連接器可以一起使用的規則。 您只要將連接器放在商務資料專用群組,它就只能與相同應用程式中該群組的其他連接器搭配使用。 Power Platform 管理員可以定義套用至所有環境的原則。

常見問題集

問題:我能否在租用戶層級控制哪些連接器可完整使用,例如 Dropbox 或 Twitter 不行,但 SharePoint 可以?

答案:利用連接器分類功能,並將已封鎖分類器指派給您要避免使用的一個或多個連接器,即可達成此目標。 請注意,有連接器組無法封鎖

問題:使用者之間共用連接器? 例如,Teams 的連接器是可以共用的一般連接器嗎?

答:連接器可供所有使用者使用,但高級或自定義連接器除外,這些連接器需要其他許可證 (高級連接器) 或必須顯式共用 (自定義連接器)

警示和動作

除了監控之外,許多客戶還希望訂閱軟體創建、使用或運行狀況事件,以便他們知道何時執行操作。 本節概述一些觀察事件的方式(手動和程式),及執行事件發生觸發的動作。

組建 Power Automate 流程以便針對關鍵稽核事件發出警示

  1. 可以實施的警示範例即訂閱 Microsoft 365 安全性與合規性稽核日誌。
  2. 這可以透過 Webhook 訂閱或輪詢方法辦到。 不過,藉由附加 Power Automate 到這些警示,我們就能提供系統管理員不只是電子郵件警示。

使用 Power Apps、Power Automate,和 PowerShell 組建您需要的原則

  1. 這些 PowerShell Cmdlet 會放置完全控制在系統管理員手上,以便自動化必要的治理原則。
  2. 管理 連接器 提供相同級別的控制,但通過使用 Power Apps and Power Automate 增加了可擴展性和易用性。
  3. 下列 Power Automate 範本適用快速加速的系統管理連接器:
    1. 列出新 Power Automate 連接器
    2. 獲取 new Power Apps、 Power Automate flows 和 connector 的清單
    3. 通過電子郵件將訊息中心通知的 Office 365 每周摘要發送給我
    4. 從以下位置訪問 Office 365 安全性和合規性日誌 Power Automate
  4. 在系統管理連接器上快速逐步增加使用此此部落格和應用程式範本
  5. 此外,也值得查看社群應用程式庫共用的內容,以下是另一個使用 Power Apps 和系統管理連接器組建的系統管理體驗範例。

常見問題

問題 目前,所有擁有 Microsoft E3 許可證的使用者都可以在 Default 環境中創建應用程式。 例如,我們如何為選取群組啟用環境製造者權利。 十個人創建應用程式?

建議 PowerShell cmdlet 和管理 連接器 為管理員提供了充分的靈活性和控制力,以構建他們想要的組織策略。

監視器

眾所周知,監控是大規模管理軟體的一個關鍵方面。 本節重點介紹了幾種深入瞭解 Power Apps Power Automate Development 和 Usage 的方法。

評論稽核線索

的活動 Power Apps 日誌記錄與 Office 安全與合規中心集成,用於跨 Microsoft 服務 (如 Dataverse and Microsoft 365) 進行全面日誌記錄。 Office 提供 API 查詢此項資料,此資料目前由許多 SIEM 供應商用於編製活動日誌報表。

查看 Power Apps 和 Power Automate 授權報表

  1. 前往 Power Platform 系統管理中心

  2. 選取分析>Power AutomatePower Apps

  3. 查看 Power Apps 和 Power Automate 管理員分析

    您可以用下列方式取得資訊:

    • 使用中的使用者和應用程式使用方式 - 目前有多少使用者正在使用應用程式以及使用頻率?
    • 位置 – 使用方式在哪裡?
    • 連接器的服務效能
    • 錯誤報表 – 是最容易出錯的應用程式
    • 按類型和日期排列使用中的流程
    • 按類型和日期建立的流程
    • 應用程式等級的稽核
    • 服務健康狀態
    • 使用的連接器

查看哪些使用者獲得授權

您始終可以透過查看特定使用者,在 Microsoft 365 系統管理中心查看單一使用者授權。

您也可以使用下列 PowerShell 命令來匯出指派的使用者授權。

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

會將您租戶中所有受指派的使用者授權(Power Apps 及 Power Automate)匯出至表格式的檢視表( .csv 檔案)。 匯出的檔案包含自助註冊內部試用版方案和源自 Microsoft Entra ID 的方案。 Microsoft 365 系統管理中心的管理員看不到內部試用方案。

有大量 Power Platform 使用者的租用戶,其匯出可能需要一段時間。

查看在環境中使用的應用程式資源

  1. 在 Power Platform 系統管理中心中,請選取導覽功能表中的環境。
  2. 選取環境。
  3. (可選)可以將環境中使用的資源清單作為.csv 下載。

另請參閱

使用最佳實踐來保護和管理 Power Automate 環境
Microsoft Power Platform 卓越中心 (CoE) 入門工具包