Power Platform Governancea ilman Premium-lisensointia tai kapasiteettia?

Power Platform Governancesta puhuttaessa isossa roolissa on aina Power Platform -ympäristöt, ja syystäkin sillä ne näyttelevät isoa roolia koko governance ajattelussa.

Ympäristöjen ideana on eriyttää Power Platform -toteutuksia omiin, loogisiin osioihin (=ympäristöihin). Näin niiden hallinta ja monitorointi on huomattavasti helpompaa ja jopa ”tietoturvallisempaa”.

Todettakoon myös, että ei ole olemassa vain yhtä oikeaa Governance-mallia joka sopii kaikille. Jokainen yritys/organisaatio määrittää itse itselleen sopivan ympäristöstrategian ja governancen niiden osalta.

Ihan ilmaista ympäristöjen luonti ei ole koska niiden luonti vaatii Power Platform -kapasiteettia jota saa, yllätys yllätys, erilaisilla lisensseillä/lisenssikomboilla.

Tähän voidaankin heti todeta että ei, tähän ei auta nyt ne Business Premium, M365E3/E5 -lisenssit, vaikka niissä kuinka niitä muita ihania kilkkeitä onkin.

Ympäristöt ja kapasiteetti

Kapasiteettiin vaaditaan Power Apps / Power Automate / Dynamics365 -pohjaisia lisenssejä jotka eivät sisälly M365-lisensseihin.

Esimerkiksi Power Apps Premium / Power Automate Premium -lisenssit antavat tuota kapasiteettia. Kapasiteettia saa myös erillisillä kapasiteetti addon -lisensseillä.

Alla yksi näkemys tai ajatus, millä tavalla erilaisia Power Platform -ympäristöjä voisi käsitellä:

Teams-pohjaiset ympäristöt

Yllä olevasta kuvasta puuttuu Teams-pohjaiset ympäristöt jotka syntyvät aina kun Teamin omistaja päättää aktivoida Teamsille Power-kyvykkyydet (luoda Teamille Dataversen).

Näitä syntyy helposti myös vahingossa kun Teamien omistajat seikkailevat Teamsissa ja löytävät tiensä Teamin Power Apps -osuuteen. Tässä helposti syntyy Teams-pohjainen ympäristö.

Teams-pohjaisten dataverse-sovellusten käyttö ei vaadi premium-lisenssiä käyttäjältä. Nämä ympäristöt ovat myös rajoittuneempia vs. ”täysveriset ympäristöt”.

Teams-ympäristöt myös tuhoutuvat itsestään jos niissä ei havaita käyttöä:

Entä jos syystä tai toisesta ei ole niitä Premium-lisenssejä eikä kapasiteettilisenssejä eikä niitä tulla myöskään saamaan?

Tietysti tilanne on tässä hieman kinkkinen ja jos jonkinlaista governancea haluaa tehdä, pitää myös sitten tehdä kompromisseja.

Kuten aikaisemmin tuossa todettiin, mahdollisuus eriyttää toteutuksia eri ympäristöihin on avaintekijä governancessa. Nyt jos tuo avaintekijä ei ole mahdollinen, tarkoittaa se käytännössä sitä, että ”kaikki munat ovat samassa korissa” eli toteutukset asuvat kaikki sitten siellä oletusympäristössä tai Teams-ympäristöissä (joissa on omat rajoitteensa)

Voimme siis tässä skenaariossa governoida tuota yhtä oletusympäristöä + Teams-pohjaisia ympäristöjä.

Oletusympäristön osalta helposti käy niin, että kun me luomme rajoituksia tuohon ympäristöön, astumme jonkun toteutuksen varpaille. Kun me sitten sallimme kyseisen toteutuksen käyttämät yhdistimet, sallimme ne samalla myös muille toteutuksille/tekijöille tässä ympäristössä.

Katsotaanpa mitä kaikkea voimme tehdä oletusympäristön ja näiden Teams -ympäristöjen osalta.

Tenantin yleiset Power Platform -asetukset

Power Platform Admin Centerissä on asetuksia jotka ovat koko tenantin laajuisia ja näiden vääntäminen oletusasetuksilta on suotavaa.

Näitä asetuksia kannatta myös tarkatella ja rukata vaikka olisikin ne premium-lisenssit ja kapasiteettia harrastaa ympäristöjen luontia. 🙂

Näistä voisi nopeasti todeta että:
– Copilot = Ei mitään syytä miksi ei kannattaisi laittaa päälle (ellei jo ole). Appien tekijät voivat sitten udella AI:ltä vinkkejä rakenteluun
– Developer- Production- Trial environment assignments kannattaa vääntää asentoon ”Only specific admins”
– Add-on capacity assigments kannattaa vääntää asentoon ”Only specific admins”
– Analytics kannattaa vääntää päälle
○ Tämän avulla saadaan hieman parempaa käyttöanalytiikkaa out-of-the-box
○ Analytiikkadata tallentuu maantieteellisesti sinne, jossa tenantin oletusympäristö asuu (eli sinne missä 365-tenantti asuu)

Data Loss Prevention (DLP) luonnit ja kohdennukset

Tässä ideana on luoda mahdollisimman tiukka policy sekä oletusympäristölle, että syntyville Teams-ympäristöille. Policyja voi tarvittaessa sitten aina höllentää ja kohdentaa eri tavalla jos havaitaan että jossakin ympäristössä tarvitaan jokin estetty yhdistin.

Policy oletusympäristöä varten

Lähdetään luomaan policya, joka kohdennetaan oletusympäristöön.

Annetaan policylle kuvaava nimi:

Seuraavaksi ideana on siirtää jokainen ei-blokattavissa oleva yhdistin ”Business” -kategoriaan:

Näiden lisäksi etsitään listalta vielä ”Microsoft Forms” -yhdistin ja siirretään se myös Business-kategoriaan. Tämä siksi että käytännössä näitä halutaan kuitenkin käyttää tai käytetään jo esim. organisaation sisäisissä prosesseissa.
Toki tämänkin voi tietysti blokata, jos haluaa. 🙂

Jos tiedossa on joitain muita yhdistimiä jotka syystä tai toisesta pitää tai halutaan sallia oletusympäristössä, siirretään nekin Business-kategoriaan.

Loput yhdistimet blokataan:

Otetaan vielä myös kantaa uusin yhdistimiin joita julkaistaan tasaisin väliajoin Power Platformiin. Asetetaan jokainen uusi yhdistin blokatuksi oletuksena:

Ruudun oikeasta yläkulmassa löytyy kohta:

Asetetaan tämä:

Seuraavaksi voidaan ottaa kantaa custom-yhdistimiin eli jos organisaatio esim. itse kehittää omia yhdistimiään.

Tässä tapauksessa estetään kaikenlaiset custom-yhdistimet, varsinkin oletusympäristössä:

Seuraavaksi päästäänkin kohdentamaan policy oletusympäristöön:

Valitaan oletusympäristö listalta (Type = Default)

Huom. kuvassa oletusympäristö on nimetty ”Personal” -nimiseksi. Lähtökohtaisesti nimi on sama kuin tenantin nimi.

Lopuksi tallennetaan policy:

Nyt meillä on luotuna policy joka ottaa kantaa oletusympäristöön. Vielä pitäisi luoda policy joka ottaa kantaan ”kaikkiin muihin” ympäristöihin eli tässä tapauksessa Teams-ympäristöihin koska muita ympäristöjä meille ei ole syntymässä ilman premium-lisenssejä/kapasiteettilisenssejä.

Käytännössä luodaan täysin saman sisältöinen policy mutta kohdennus menee eri tavalla:

Otetaan kohdennuksesta pois oletusympäristö:

Tämän jälkeen tallennetaan policy.

Lopputuloksena meillä on 2 policya:

– Policy oletusympäristöä varten
– Policy muita ympäristöjä (Teams-ympäristöt) varten

Olisiko voinut tehdä vain yhden policyn jonka kohdentaa kaikkiin ympäristöihin?
Kyllä, homman voi tehdä näinkin:

Mutta jos tulee tilanne vastaan jossa Teams-ympäristöissä halutaan sallia jokin yhdistin jota ei haluta sallia oletusympäristössä, niin sitten tullaan tietysti taas siihen että pitää luoda vähintään 2 policya.

Yhteenveto

Luonnollisesti, jos eteen alkaa tulemaan erilaisia ympäristökohtaisia tarpeita, pitää näitä policyja tarkastella ja mahdollisesti muuttaa niiden kohdennuksia sekä luoda ehkä lisääkin policyja joita sitten kohdennetaan niihin erikoiskohtelua vaativiin Teams-ympäristöihin.

Yrityksen/organisaation Power-tekijöille on myös hyvä muistuttaa että mitään kriittisiä tai edes semi-kriittisiä toteutuksia ei tehdä hurisemaan sen oman tunnuksen alle vaan esim. service-tunnuksen alle.

Vielä muistutuksena, tämä kirjoitelma oli tosiaan ajateltu sellaisiin tenantteihin, joihin ei syystä tai toisesta saada tehtyä muita ympäristöjä kuin se oletus + Teams-pohjaiset ympäristöt.

Jokaisen yrityksen ja organisaation tarpeet ovat erilaiset joten näitä säännöstöjä ja asetuksia pitää myös sillä silmällä katsoa. 🙂

– Pilviguru / Huru-ukko Jasu Snell

Cookie	Kesto	Kuvaus
_wpfuuid	11 years	Tätä evästettä käyttää WPForms WordPress -laajennus. Evästettä käytetään mahdollistamaan laajennuksen maksullisen version yhdistäminen saman käyttäjän merkintöihin, ja sitä käytetään joihinkin lisäominaisuuksiin, kuten lomakkeen hylkäämiseen.
cookielawinfo-checkbox-advertisement	1 year	GDPR Cookie Consent -laajennuksen asettama evästettä käytetään tallentamaan käyttäjän suostumus "Mainonta"-luokan evästeille.
cookielawinfo-checkbox-analytics	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästettä käytetään käyttäjän suostumuksen tallentamiseen kategoriaan "Analytiikka" oleville evästeille.
cookielawinfo-checkbox-functional	11 months	Eväste asetetaan GDPR-evästeen suostumuksella tallentamaan käyttäjän suostumus evästeille kategoriaan "Toiminta".
cookielawinfo-checkbox-necessary	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästeitä käytetään tallentamaan käyttäjän suostumus evästeiden luokkaan "Välttämättömät".
cookielawinfo-checkbox-others	11 months	Tämän evästeen asettaa GDPR Cookie Consent -laajennus. Evästettä käytetään tallentamaan käyttäjän suostumus evästeiden käyttöön kategoriassa "Muut".
cookielawinfo-checkbox-performance	11 months	Eväste asetetaan GDPR-evästeen suostumuksella tallentamaan käyttäjän suostumus evästeille kategoriaan "Suorituskyky".
viewed_cookie_policy	11 months	Evästeen asettaa GDPR Cookie Consent -laajennus, ja sitä käytetään tallentamaan, onko käyttäjä suostunut evästeiden käyttöön vai ei. Se ei tallenna henkilötietoja.

Cookie	Kesto	Kuvaus
_ga	2 years	Google Analyticsin asentama eväste, joka laskee vierailija-, istunto- ja kampanjatiedot ja seuraa sivuston käyttöä analytiikkaraporttia varten. Eväste tallentaa tiedot anonyymisti ja määrittää satunnaisesti luodut numerot yksilöllisten vierailijoiden tunnistamiseksi.
_gat_gtag_UA_122574882_1	1 minute	Googlen asettama eväste käyttäjien erottamiseen.
_gid	1 day	Tämä Google Analyticsin asentama eväste tallentaa tietoja siitä, kuinka vierailijat käyttävät verkkosivustoa, ja luo samalla analytiikkaraportin verkkosivuston tehokkuudesta. Jotkut kerätyistä tiedoista sisältävät vierailijoiden määrän, niiden lähteen ja sivut, joilla he vierailevat nimettömänä.
CONSENT	2 years	YouTube asettaa tämän evästeen upotettujen youtube-videoiden kautta ja rekisteröi anonyymejä tilastotietoja.

Cookie	Kesto	Kuvaus
VISITOR_INFO1_LIVE	5 months 27 days	YouTuben asettama eväste mittaamaan kaistanleveyttä, joka määrittää, saako käyttäjä uuden vai vanhan soittimen käyttöliittymän.
YSC	session	YSC-eväste on Youtuben asettama, ja sitä käytetään YouTube-sivuilla olevien upotettujen videoiden katselukertojen seuraamiseen.
yt-remote-connected-devices	never	YouTube asettaa tämän evästeen tallentamaan upotettua YouTube-videota käyttävän käyttäjän videoasetukset.
yt-remote-device-id	never	YouTube asettaa tämän evästeen tallentamaan upotettua YouTube-videota käyttävän käyttäjän videoasetukset.
yt.innertube::nextId	never	Tämä YouTuben asettama eväste rekisteröi yksilöllisen tunnuksen tallentaakseen tietoja siitä, mitä YouTube-videoita käyttäjä on nähnyt.
yt.innertube::requests	never	Tämä YouTuben asettama eväste rekisteröi yksilöllisen tunnuksen tallentaakseen tietoja siitä, mitä YouTube-videoita käyttäjä on nähnyt.

Cookie	Kesto	Kuvaus
ClientId	1 year	Ei kuvausta saatavilla.
OIDC	6 months	Ei kuvausta saatavilla.
OutlookSession	session	Ei kuvausta saatavilla.

Power Platform Governancea ilman Premium-lisensointia tai kapasiteettia?