Freigeben über

Sicherheits- und Governanceüberlegungen in Power Platform

  • Artikel

Viele Kunden fragen sich, wie Power Platform in ihrem Unternehmen umfangreich bereitgestellt und von der IT unterstützt werden kann? Governance ist die Antwort. Ziel ist es, Geschäftsgruppen in die Lage zu versetzen, sich auf die effiziente Lösung von Geschäftsproblemen unter Einhaltung von IT- und Business-Compliance-Standards zu konzentrieren. Der folgende Inhalt soll Themen strukturieren, die häufig mit Governance-Software in Verbindung stehen, und das Bewusstsein für die Funktionen schärfen, die für jedes Thema in Bezug auf Governance in Power Platform zur Verfügung stehen.

Thema Allgemeine Fragen bezüglich jedes Themas, die dieser Inhalt beantwortet
Architektur
  • Was sind die grundlegenden Konstrukte und Konzepte von Power Apps, Power Automate und Microsoft Dataverse?

  • Wie passen diese Konstrukte zusammen zur Entwurfszeit und Runtime?
Sicherheit
  • Was sind die bewährten Methoden für Sicherheitsentwurfsüberlegungen?

  • Wie nutze ich unsere vorhandenen Benutzer- und Gruppenverwaltungslösungen, um Zugriff und Sicherheitsrollen in Power Apps zu verwalten?
Warnungsaktionen
  • Wie definiere ich das Governance-Modell zwischen Citizen-Entwicklern und verwalteten IT-Services?

  • Wie definiere ich das Governance-Modell zwischen der zentralen IT und den Admins der Geschäftseinheiten?

  • Wie sollte ich Unterstützung für nicht standardmäßige Umgebungen in meiner Organisation angehen?
Überwachen
  • Wie erfassen wir Konformitäts-/Überwachungsdaten?

  • Wie kann ich Akzeptanz und Verwendung in meiner Organisation messen?

Architektur

Es ist am besten, sich mit Umgebungen als ersten Schritt beim Erstellen der passenden Governance-Geschichte Ihres Unternehmens vertraut zu machen. Umgebungen sind die Container für alle Ressourcen, die von einer Power Apps, Power Automate und Dataverse verwendet werden. Die Umgebungsübersicht ist eine gute Einführung für Themen wie Was ist Dataverse?, Arten von Power Apps, Microsoft Power Automate, Connectors und Lokale Datengateways.

Sicherheit

Dieser Abschnitt beschreibt Mechanismen, die es gibt, um zu steuern, wer in einer Umgebung auf Power Apps und auf Daten zugreifen darf: Lizenzen, Umgebungen, Umgebungsrollen, Microsoft Entra ID, Data Loss Prevention-Richtlinien und Admin-Konnektoren, die mit Power Automate verwendet werden können.

Lizenzierung

Zugriff auf Power Apps und Power Automate beginnt mit einer Lizenz. Die Art der Lizenz, über die ein Benutzer verfügt, bestimmt die Anlagen und Daten, auf die ein Benutzer zugreifen kann. Die folgende Tabelle beschreibt Unterschiede der Ressourcen, die für einen Benutzer auf Basis des Plantyps verfügbar sind, von einer hohen Ebene aus. Präzise Lizenzierungsdetails finden Sie in der Lizenzierungsübersicht.

Planen Beschreibung
Microsoft 365 Enthalten Dadurch können Benutzer SharePoint und andere Office-Ressourcen, die Sie bereits haben, erweitern.
Einschließlich Dynamics 365 Auf diese Weise können Benutzer bereits vorhandene Apps zur Kundeninteraktion (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing und Dynamics 365 Project Service Automation) anpassen und erweitern.
Power Apps Planen Dadurch können:
  • Unternehmenskonnektoren erstellt und Dataverse für den Gebrauch zugänglich gemacht werden.
  • Benutzer solide Geschäftslogik über Anwendungstypen hinweg und administrative Funktionen verwenden.
Power Apps Community Damit können Benutzende Power Apps, Power Automate, Dataverse und benutzerdefinierte Connectors individuell verwenden. Es gibt keine Möglichkeit, Apps zu teilen.
Power Automate Frei Auf diese Weise können Benutzer unbegrenzte Flows erstellen und 750 Ausführungen machen.
Power Automate Planen Sieh Microsoft Power Apps und Microsoft Power Automate Lizenzanleitung.

Umgebungen

Nachdem Benutzer Lizenzen haben, sind Umgebungen die Container für alle Ressourcen, die von einer Power Apps, Power Automate und Dataverse verwendet werden. Umgebungen können verwendet werden, um unterschiedliche Zielgruppen und/oder verschiedene Zwecke zu erreichen, z. B. Entwicklung, Test und Produktion. Weitere Informationen sind in der Umgebungsübersicht enthalten.

Sichern Ihrer Daten und Ihres Netzwerks

  • Power Apps und Power Automate bieten Benutzenden keinen Zugriff auf irgendwelche Datenressourcen, zu denen sie nicht bereits Zugriff haben. Benutzer sollten nur Zugriff auf Daten haben, zu denen sie wirklich Zugriff benötigen.
  • Netzwerk-Access Control-Regeln können auch auf Power Apps und Power Automate angewendet werden. Für Umgebungen kann der Zugriff auf eine Website aus einem Netzwerk blockiert werden, indem die die Anmeldeseite gesperrt wird, um die Erstellung von Verbindungen zu dieser Website in Power Apps und Power Automate zu verhindern.
  • In einer Umgebung wird der Zugriff auf drei Ebenen gesteuert: Umgebungsrollen, Ressourcenberechtigungen für Power Apps, Power Automate usw. und Dataverse Sicherheitsrollen (wenn eine Dataverse Datenbank bereitgestellt wird).
  • Wenn Dataverse in einer Umgebung erstellt wird, übernehmen die Dataverse-Rollen die Steuerung der Sicherheit in Umgebungen (und alle Umgebungsadministrierenden und Erstellenden werden migriert).

Die folgenden Prinzipals werden für jeden Rollentyp unterstützt.

Umgebungstyp Role Prinzipaltyp (Microsoft Entra ID)
Umgebung ohne Dataverse Umgebungsrolle Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Canvas-App Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Power Automate Benutzerdefinierter Konnektor, Gateways, Verbindungen1 Benutzer, Gruppe
Umgebung mit Dataverse. Umgebungsrolle User
Ressourcenberechtigung: Canvas-App Benutzer, Gruppe, Mandant
Ressourcenberechtigung: Power Automate Benutzerdefinierter Konnektor, Gateways, Verbindungen1 Benutzer, Gruppe
Dataverse Rolle (gilt für alle Modellgesteuerten Anwendungen und Komponenten) User

1 Nur bestimmte Verbindungen (wie SQL) können gemeinsam genutzt werden.

Notiz

  • In der Standardumgebung erhalten alle Benutzer in einem Mandanten Zugriff auf die Umgebungserstellerrolle.
  • Benutzende mit der Rolle einer Fachkraft für die globale Power Platform-Administration des Mandanten haben Administratorzugriff für sämtliche Umgebungen.

FAQ: Welche Berechtigungen gibt es auf Microsoft Entra-Mandantenebene?

Jetzt können Microsoft Power Platform Administratoren Folgendes tun:

  1. Herunterladen der Power Apps und Power Automate Lizenzberichte
  2. Erstellen einer DLP-Richtlinie, deren Umfang nur „Alle Umgebungen” oder das Einschließen/Ausschließen bestimmter Umgebungen umfasst
  3. Verwalten und Zuweisen von Lizenzen über das Office-Administratorcenter
  4. Greifen Sie auf alle Umgebungs-, App- und Flow-Management-Funktionen für alle Umgebungen im Mandanten zu, die verfügbar sind über:
    • Power Apps Admin PowerShell cmdlets
    • Power Apps Managementkonnektoren
  5. Zugriff auf Power Apps und Power Automate Administratoranalytik für alle Umgebung im Mandanten:

Microsoft Intune betrachten

Kunden mit Microsoft Intune können Richtlinien zum Schutz mobiler Anwendungen sowohl für Power Apps und Power Automate Apps auf Android und iOS festlegen. Dieser Überblick hebt das Einstellen einer Richtlinie über Intune für Power Automate hervor.

Betrachten Sie ortsbasierten bedingten Zugriff

Für Kunden mit Microsoft Entra ID P1 oder P2, können bedingte Zugriffsrichtlinien in Azure für Power Apps und Power Automate definiert werden. Dies ermöglicht das Gewähren oder Blockieren von Zugriff auf der Basis von: Benutzer/Gruppe, Gerät, Standort.

Erstellen einer bedingten Zugriffs-Richtlinie

  1. Melden Sie sich bei https://portal.azure.com an.
  2. Wählen Sie Bedingten Zugriff.
  3. Wählen Sie + Neue Richtlinie.
  4. Wählen Sie Benutzende und Gruppen ausgewählt.
  5. Wählen Sie Alle Cloud-Apps>Alle Cloud-Apps>Common Data Service, um den Zugriff auf Customer Engagement-Apps zu steuern.
  6. Anwenden von Bedingungen (Benutzerrisiko, Geräteplattformen, Standorte).
  7. Wählen Sie Erstellen aus.

Verhindern Sie Datenlecks durch Richtlinien zur Verhinderung von Datenverlust

Richtlinien zur Verhinderung von Datenverlusten (DLP) setzen Regeln durch, nach denen Konnektoren gemeinsam verwendet werden können, indem Konnektoren entweder als nur Geschäftsdaten oder keine Geschäftsdaten erlaubt klassifiziert wurden. Einfach gesagt, wenn Sie einen Konnektor in die Nur Geschäftsdaten-Gruppe aufnehmen, kann er nur mit anderen Konnektoren der Gruppe in derselben Anwendung verwendet werden. Power Platform-Administratoren können Richtlinien definieren, die für alle Umgebungen gelten.

Häufig gestellte Fragen

F: Kann ich auf Mandant-Ebene steuern, welcher Konnektor überhaupt verfügbar ist, z. B. Nein zu Dropbox oder Twitter, aber Ja zu SharePoint?

A: Das ist möglich, indem Sie die Funktionalitäten Klassifizierung der Konnektoren nutzen und einem oder mehreren Konnektoren, die nicht verwendet werden sollen, den Klassifikator Blockiert zuweisen. Es gibt einen Satz von Connectors, die nicht blockiert werden können.

F: Wie steht es mit der Freigabe von Konnektoren zwischen Benutzern? Beispielsweise ist der Konnektor für Teams ein allgemeiner Konnektor, der gemeinsam genutzt werden kann?

A: Mit Ausnahme von Premium- oder benutzerdefinierten Connectors, die entweder eine weitere Lizenz (Premium-Connectors) erfordern oder explizit freigegeben werden müssen (benutzerdefinierte Connectors), stehen Connectors allen Benutzenden zur Verfügung

Warnungsaktionen

Zusätzlich zur Überwachung möchten viele Kunden die Erstellung von Software, den Verbrauch oder Integritätsereignisse abonnieren, damit sie wissen, wann eine Aktion ausgeführt werden muss. In diesem Abschnitt werden einige Mittel zur Beobachtung von Ereignissen beschrieben (manuell und programmatisch) und Aktionen auszuführen, die durch ein Ereignisvorkommen ausgelöst werden.

Bilden von Power Automate-Flows, um auf Schlüsselüberwachungsereignisse hinzuweisen

  1. Beispiel für Warnungen, das implementiert werden kann, ist das Abonnieren von Microsoft 365 Sicherheits- und Kompatibilitäts-Überwachungsprotokollen.
  2. Dies kann entweder durch einen Webhook, Abonnement oder Abruf erreicht werden. Durch das Anfügen von Power Automate an diese Warnungen, können wir Administratoren jedoch mehr als nur E-Mail-Warnungen an die Hand geben.

Erstellen Sie die Richtlinien, die Sie benötigen, mit Power Apps, Power Automate und PowerShell

  1. Diese PowerShell-Cmdlets geben Administratoren ganze Kontrolle, um die erforderlichen Governance-Richtlinien zu automatisieren.
  2. Die Connectors für Power Platform for Admins V2 (Vorschauversion) und zur Power Automate-Verwaltung bieten dasselbe Maß an Kontrolle aber mit zusätzlicher Erweiterbarkeit und Einfachheit durch die Nutzung von Power Apps und Power Automate.
  3. Sehen Sie sich die Best Practices für die Verwaltung und Governance von Power Platform an und überlegen Sie, ein Center of Excellence (CoE) Starter Kit einzurichten.
  4. Verwenden Sie die Blog- und App-Vorlage, um Administrations-Connectors schnell zu implementieren.
  5. Außerdem lohnt es sich, Inhalte, die in der Community-App-Galerie geteilt werden, anzusehen. Hier ein weiteres Beispiel einer Verwaltungsumgebung, die mit Power Apps und Administrator-Konnektoren erstellt wurde.

Häufig gestellte Fragen

Problem Derzeit können alle Benutzer mit Microsoft E3-Lizenzen Apps in der Standardumgebung erstellen. Wie können wir beispielsweise Umgebungserstellungsrechte für eine ausgewählte Gruppe aktivieren? Zehn Personen, um Apps zu erstellen?

Empfehlung

Die PowerShell-Cmdlets und Verwaltungsconnectors bieten Fachkräften für die Administration volle Flexibilität und Kontrolle bei der Erstellung der Richtlinien, die sie für ihre Organisation wollen.

Monitor

Es ist allgemein bekannt, dass die Überwachung ein entscheidender Aspekt bei der Verwaltung von Software in großem Maßstab ist. In diesem Abschnitt werden einige Möglichkeiten beschrieben, um mehr über die Entwicklung und Verwendung von Power Apps und Power Automate zu erfahren.

Lesen Sie die Informationen über den Audit-Trail

Aktivitätsprotokollierung für Power Apps wird in Office-Sicherheits- und -Kompatibilitätscenter für umfangreiche Protokollierung zu Microsoft-Diensten wie Dataverse und Microsoft 365 integriert. Office bietet eine API, um diese Daten abzufragen, die derzeit von vielen SIEM-Zulieferern verwendet wird, um die Aktivitäts-Protokollierungsdaten für die Berichterstellung zu verwenden.

Sehen Sie sich den Lizenzbericht Power Apps und Power Automate an

  1. Navigieren Sie zum Power Platform Admin Center.

  2. Wählen Sie Analysen>Power Automate oder Power Apps.

  3. Anzeige Power Apps und Power Automate Admin Analytik

    Sie können Informationen zu folgenden Elementen erhalten:

    • Aktive Benutzer- und App-Verwendung – wie viele Benutzer verwenden eine App und wie oft?
    • Ort – wo findet die Verwendung statt?
    • Service-Leistung von Konnektoren
    • Fehlerberichterstattung – was sind die fehleranfälligsten Apps
    • Verwendete Flows nach Typ und Datum
    • Erstellte Flows nach Typ und Datum
    • Überprüfung auf Anwendungsebene
    • Service-Integrität
    • Verwendete Konnektoren

Lizenzierte Benutzer anzeigen

Sie können sich jederzeit die individuelle Benutzerlizenzierung im Microsoft 365 Admin Center ansehen, indem Sie Detailinformationen zu bestimmten Benutzern aufrufen.

Sie können auch den folgenden PowerShell-Befehl verwenden, um zugewiesene Benutzerlizenzen zu exportieren.

Get-AdminPowerAppLicenses -OutputFilePath '<licenses.csv>'

Exportiert alle zugewiesenen Benutzerlizenzen (Power Apps und Power Automate) in Ihrem Mandanten in einer tabellarischen Ansicht in eine .csv-Datei. Die exportierte Datei enthält sowohl Self-Service-Anmeldepläne für interne Tests als auch Pläne, die von Microsoft Entra ID bezogen werden. Die internen Testversionspläne sind für Administratoren im Microsoft 365 Admin Center nicht sichtbar.

Der Export kann für Mandanten mit einer großen Anzahl von Power Platform-Benutzern eine Weile dauern.

Anzeige der App-Ressourcen, die in einer Umgebung verwendet werden

  1. Klicken Sie im Power Platform Admin Center im Navigationsmenü auf Umgebungen.
  2. Wählen Sie eine Umgebung aus.
  3. Optional kann die Liste der Ressourcen, die in einer Umgebung verwendet wird, als CSV heruntergeladen werden.