category
许多客户想知道如何将Power Platform提供给他们更广泛的业务并得到IT的支持?治理是答案。它旨在使业务部门能够专注于有效地解决业务问题,同时遵守It和业务合规标准。以下内容旨在构建通常与治理软件相关的主题,并让人们了解与治理Power Platform相关的每个主题的可用功能。
Theme | Common questions related to each theme for which this content answers |
---|---|
Architecture |
|
Security |
|
Alert and Action |
|
Monitor |
|
架构
最好熟悉环境,作为为公司构建正确治理故事的第一步。环境是Power Apps、Power Automation和Nexus使用的所有资源的容器。《环境概述》【Environments Overview】是一本很好的入门书,后面应该跟着介绍什么是Data Verse【What is Dataverse?】?,Power Apps、Microsoft Power Automation、连接器和本地网关的类型。
安全
本节概述了控制谁可以在环境中访问Power Apps和访问数据的机制:许可证、环境、环境角色、Microsoft Entra ID、数据丢失预防策略和可用于Power Automation的管理连接器。
许可
要访问Power Apps和Power Automation,首先需要获得许可证。用户拥有的许可证类型决定了用户可以访问的资产和数据。下表从高层概述了用户根据其计划类型可用资源的差异。详细的许可细节可以在许可概述中找到。
Plan | Description |
---|---|
Microsoft 365 Included | This allows users to extend SharePoint and other Office assets they already have. |
Dynamics 365 Included | This allows users to customize and extend customer engagement apps (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, and Dynamics 365 Project Service Automation), they already have. |
Power Apps plan |
This allows:
|
Power Apps Community | This allows a user to use Power Apps, Power Automate, Dataverse, and custom connectors in a single for individual use. There's no ability to share apps. |
Power Automate Free | This allows users to create unlimited flows and do 750 runs. |
Power Automate plan | See Microsoft Power Apps and Microsoft Power Automate Licensing Guide. |
环境
用户获得许可证后,环境将作为Power Apps、Power Automation和BLOB使用的所有资源的容器存在。环境可用于针对不同的受众和/或用于不同的目的,如开发、测试和生产。更多信息可以在环境概述中找到。
保护您的数据和网络
- Power Apps和Power Automation不允许用户访问他们尚未访问的任何数据资产。用户应该只能访问他们真正需要访问的数据。
- 网络访问控制策略也可以应用于Power Apps和Power Automation。对于环境,可以通过阻止登录页面来阻止从网络内访问站点,以防止在Power Apps和Power Automation中创建到该站点的连接。
- 在一个环境中,访问权限在三个级别上受到控制:环境角色、Power Apps的资源权限、Power Automation等,以及DataVerse安全角色(如果配置了数据库)。
- 当在一个环境中创建了DataVerse时,这些角色会接管环境中的安全控制(并且所有环境管理员和创建者都会被迁移)。
每种角色类型都支持以下主体。
Environment type | Role | Principal Type (Microsoft Entra ID) |
---|---|---|
Environment without Dataverse | Environment role | User, group, tenant |
Resource permission: Canvas app | User, group, tenant | |
Resource permission: Power Automate, Custom Connector, Gateways, Connections1 | User, group | |
Environment with Dataverse | Environment role | User |
Resource permission: Canvas app | User, group, tenant | |
Resource permission: Power Automate, Custom Connector, Gateways, Connections1 | User, group | |
Dataverse role (applies to all model-driven apps and components) | User |
1只能共享某些连接(如SQL)。
注:
在默认环境中,租户中的所有用户都被授予访问环境创建者角色的权限。
具有Power Platform管理员角色的用户可以对所有环境进行管理员访问。
常见问题解答-Microsoft Entra租户级别存在哪些权限?
今天,Microsoft Power Platform管理员可以执行以下操作:
- 下载Power Apps和Power Automation许可证报告
- 创建仅适用于“所有环境”或包含/排除特定环境的DLP策略
- 通过Office管理中心管理和分配许可证
- 通过以下方式访问租户中所有环境的所有环境、应用程序和流管理功能:
- Power Apps管理PowerShell cmdlet
- Power Apps管理连接器
- Power Apps管理PowerShell cmdlet
- 访问租户中所有环境的Power Apps和Power Automation管理分析:
考虑Microsoft Intune
拥有Microsoft Intune的客户可以为Android和iOS上的Power Apps和Power Automation应用程序设置移动应用程序保护策略。本演练重点介绍如何通过Intune为Power Automation设置策略。
考虑基于位置的条件访问
对于Microsoft Entra ID为P1或P2的客户,可以在Azure中为Power Apps和Power Automation定义条件访问策略。这允许基于以下因素授予或阻止访问:用户/组、设备、位置。
创建条件接收策略
- 登录到https://portal.azure.com.
- 选择条件接收。
- 选择+新建策略。
- 选择所选的用户和组。
- 选择所有云应用>所有云应用>Common Data Service以控制对客户参与应用的访问。
- 应用条件(用户风险、设备平台、位置)。
- 选择“创建”。
通过数据丢失预防策略防止数据泄漏
数据丢失防护策略(DLP)通过将连接器分类为仅业务数据或不允许业务数据来强制执行连接器可以一起使用的规则。简单地说,如果将连接器放在仅业务数据组中,则它只能与同一应用程序中该组中的其他连接器一起使用。Power Platform管理员可以定义适用于所有环境的策略。
常见问题解答
Q: 我可以在租户级别控制哪个连接器可用吗,例如对Dropbox或Twitter说“否”,但对SharePoint说“是”?
A: 这可以通过利用连接器分类功能并将“阻塞”分类器分配给一个或多个您希望避免使用的连接器来实现。请注意,有一组连接器无法被堵塞。
Q: 如何在用户之间共享连接器?例如,Teams的连接器是一个可以共享的通用连接器?
A: 连接器可供所有用户使用,但高级或自定义连接器除外,这些连接器需要另一个许可证(高级连接器)或必须明确共享(自定义连接器)
警报和行动
除了监控之外,许多客户还希望订阅软件创建、使用或健康事件,以便他们知道何时执行操作。本节概述了观察事件(手动和编程)并执行事件发生触发的操作的几种方法。
构建Power自动化流程,以提醒关键审计事件
可以实施的警报示例是订阅Microsoft 365安全和合规性审计日志。
这可以通过webhook订阅或轮询方法来实现。但是,通过将Power Automation附加到这些警报中,我们可以为管理员提供的不仅仅是电子邮件警报。
使用Power Apps、Power Automation和PowerShell构建所需的策略
这些PowerShell cmdlet将完全控制权交给管理员,以自动化必要的治理策略。
管理连接器提供相同级别的控制,但通过使用Power Apps和Power Automation,增加了可扩展性和易用性。
以下Power Automation管理连接器模板可用于快速升级:
列出新的Power Automation连接器
获取新的Power Apps、Power Automation流程和连接器列表
通过电子邮件向我发送Office 365消息中心通知的每周摘要
从Power Automation访问Office 365安全和合规日志
使用此博客和应用程序模板可在管理连接器上快速启动。
此外,值得查看社区应用程序库中共享的内容,这是使用Power Apps和管理连接器构建的管理体验的另一个例子。
常见问题解答
问题目前,所有拥有Microsoft E3许可证的用户都可以在默认环境中创建应用程序。例如,我们如何为选定组启用环境创建者权限。十个人创建应用程序?
建议PowerShell cmdlet和管理连接器为管理员提供了完全的灵活性和控制权,以构建他们想要的组织策略。
监视器
众所周知,监控是大规模管理软件的一个关键方面。本节重点介绍了了解Power Apps和Power Automation开发和使用的几种方法。
审查审计跟踪
Power Apps的活动日志记录与Office安全与合规中心集成,用于跨Microsoft服务(如BLOB和Microsoft 365)进行全面日志记录。Office提供了一个API来查询此数据,目前许多SIEM供应商都使用此API来使用活动日志数据进行报告。
查看Power Apps和Power Automation许可证报告
- 转到Power Platform管理中心。
- 选择分析>电源自动化或电源应用程序。
- 查看Power Apps和Power Automation管理分析
您可以获得以下信息:
- 活跃用户和应用程序使用情况-有多少用户在使用一个应用程序,使用频率是多少?
- 地点——用途在哪里?
- 连接器的使用性能
- 错误报告——哪些是最容易出错的应用程序
- 按类型和日期划分的使用流量
- 按类型和日期创建的流
- 应用程序级审计
- 服务健康
- 使用的连接器
查看哪些用户获得了许可
通过深入特定用户,您始终可以在Microsoft 365管理中心查看个人用户许可。
您还可以使用以下PowerShell命令导出分配的用户许可证。
PowerShell
Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'
将租户中所有分配的用户许可证(Power Apps和Power Automation)导出到表格视图.csv文件中。导出的文件包含自助注册内部试用计划和来自Microsoft Entra ID的计划。管理员在Microsoft 365管理中心看不到内部试用计划。
对于拥有大量Power Platform用户的租户来说,导出可能需要一段时间。
查看环境中使用的应用程序资源
- 在Power Platform管理中心的导航菜单中选择环境。
- 选择一个环境。
- 可选地,环境中使用的资源列表可以下载为.csv格式。
另请参见
- 使用最佳实践来保护和管理Power Automation环境
- Microsoft Power Platform卓越中心(CoE)入门套件
- 登录 发表评论
- 13 次浏览
Tags
最新内容
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week 6 days ago
- 2 weeks ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago
- 2 weeks 2 days ago