Introduktion
Mange virksomheder benytter i dag Microsoft Office, Dynamics og Power App licenser, måske uden at være bevidste om konsekvensen. Hvis ikke den IT-ansvarlige forholder sig til opsætningen, kan det resultere i både tab af data, datalæk, samt en underlicenseret platform.
Microsoft giver heldigvis mulighed for at opsætte regler, der kan begrænse risikoen. For at opnå det optimale udbytte af platformen, er det dog ikke nok blot at begrænse brugernes adgang. Der bør også etableres regler og processer, der tillader brugerne at effektivisere deres hverdag indenfor nogle sikkerhedsmæssigt forsvarlige rammer.
Med udgangspunkt i Microsofts anbefalinger (Microsoft Docs) og vores egne erfaringer, har vi udarbejdet en liste med 3 punkter, enhver IT-ansvarlig bør overveje.
1. Opbyg et ansvarligt team
Hvad vil man som organisation med Power Platformen?
Der er mange forskellige scenarier, hvor Power Platformen kan give slutbrugerne de værktøjer, der skal til for at effektiviserer deres egen hverdag, forretningen skal derfor tage stilling til, om man er interesseret i at brugerne opbygger deres egne skygge-IT systemer.
Forretning først
Power Platformen er som megen anden IT sat i verden for at understøtte forretningen. Power Platformen giver ikke-tekniske-brugere mulighed for at opbygge og distribuere applikationer i organisationen. Både Microsoft og Donkey Power anbefaler, at man adopterer denne tankegang og forbereder både organisationen og den tekniske platform til denne opgave. Alternativt er der den mere konservative tilgang, hvor brugernes adgang begrænses og procesoptimering og automatisering overlades til fagfolk.
Driftkritiske Excel-ark
Vi oplever, at ikke-tekniske-brugere, gennem længere tid har opsat systemer. I visse tilfælde har det udviklet sig til at blive driftskritiske – her er der ofte benyttet værktøjer som eksempelvis Microsoft Access, Microsoft Excel, Diverse CMS-systemer og på det seneste også i Microsoft Teams. Man kan derfor argumentere for, at det ikke er en ny udvikling, at ikke-tekniske-brugere implementerer løsninger, og fokus bør være at etablere kontrol over potentielle skygge-systemer, der ofte forekommer. Det skal lige understreges, at det ikke altid er hensigtsmæssigt at overlade implementering af forretningsløsninger til ikke-tekniske-brugere. Store og forretningskritiske løsninger, kræver stærke tekniske kompetencer, hvorimod mindre ikke-drift kritiske systemer med fordel kan overlades til forretningen.
“Hele vores prisberegning ligger i Hennings Excel ark. Der er 20 faner og mange makroer. Det er kun Henning, der kan holde det ved lige.”
– Anonym salgschef
Superbrugerteam
For at forberede forretningen til selv at kunne løfte mindre implementeringsopgaver, er det springende punkt for brugerne, at de besidder eller har adgang til de nødvendige kompetencer. Det anbefales derfor, at der etableres et team af superbrugere, der går på tværs af afdelinger. Teamet skal identificere potentielle optimeringer og sikre den nødvendige faglige støtte.
Ansvarsfordeling
Organisation bør udarbejde en strategi for, hvem der har ansvaret for udvikling af IT-løsninger. Det bør altid være IT, der står for at håndtere datasikkerhed og platformen som helhed; men man kan godt overlade udvikling og drift af løsninger, der understøtter behov i egen hverdag til slutbrugerne.
2. Opbyg en miljøstrategi
Jeres Power Platform består af ét eller flere miljøer. Hvert miljø kan betragtes som et isoleret teknisk miljø, med individuel opsætning og indhold. Der eksisterer følgende fire typer af miljøer (lidt simplificeret):
- Standard – Dette miljø oprettes automatisk, og kan ikke slettes eller nulstilles.
Her vil brugeres Apps og automatiseringsprocesser som udgangspunkt blive oprettet. Det anbefales, at dette miljø udelukkende anvendes til brugernes egne personlige optimeringstiltag. - Produktion – Miljø målrettet produktion.
Det anbefales, at der oprettes et eller flere miljøer til driftskritiske applikationer. Hvis man ønsker, at ikke-tekniske-brugere skal udarbejde forretningsapplikationer, bør disse idriftsættes i et separat driftsmiljø. - Sandkasse – Miljø til test og udvikling.
Kan overskrives med kopi af andre miljøer, nulstilles til et ”nyinstalleret” miljø, samt andre praktiske funktioner relateret til test og udvikling. Det anbefales, at der for hvert driftskritisk miljø, etableres separate udviklings- og testmiljøer. Ikke-tekniske-brugere kan med fordel dele et sandkassemiljø til udvikling og test af deres applikationer. - Prøve – Tidsbegrænset miljø med det formål at afprøve Power Platformen eller Dynamics CE Apps. En udmærket mulighed for at afprøve diverse Apps uden licensomkostninger.
Udformningen af din miljøstrategi afhænger derfor helt af jeres systemlandskab, og ambitionsniveau for ikke-tekniske-brugere. Microsoft har beskrevet en artikel, der beskriver forskellige miljøstrategier.
Begræns miljø oprettelse
Brugere har som udgangspunkt mulighed for at oprette miljøer, og hvis dette ikke begrænses, risikerer man, at der oprettes en uhensigtsmæssig mængde af miljøer. Dette kan besværliggøre fremtidig drift og vedligehold, samt øge dataforbruget unødigt.
Bemærk at hvert miljø, med tilhørende database forbruger ca. 1 GB dataforbrug.
Det kan undre, at oprettelsen af nye miljøer er tilgængelig for alle, og anbefalingen er derfor at begrænse denne mulighed for ikke administratorer.
- Log på Power Platform administrationscenteret, med en konto, der er Global Administrator eller Power Platform Administrator.
- Vælg tandhjuls ikonet i øverste højre hjørne.
- Vælg Power Platform-indstillinger
- Vælg Kun bestemte administratorer på både Prøveversion, Produktion og Sandkasse miljø oprettelser
- Tryk Gem
Tilmelding af prøvelicenser og køb via selvbetjening
I Power Platformen har slutbrugere mulighed for at tilmelde sig prøveversioner eller at købe licenser via selvbetjening. Det kan være uhensigtsmæssigt, at brugere omgår den centrale licensstyring, og derved opnår adgang til værktøjer, som man ikke ønsker at give adgang til.
For at deaktivere, at slutbrugere kan købe egne licenser, skal der benyttes PowerShell. Microsoft har skrevet artiklen Aktivér eller deaktiver tilmelding og køb via selvbetjening, der beskriver, hvordan dette udføres i praksis.
Premium Features kan blive dyre
Desuden kan det også være en udfordring, hvis slutbrugere kan igangsætte dyre Premium features i 60 dage, uden at analysere omkostningerne for en brugerudviklet applikation til hele organisationen.
For at deaktivere denne mulighed:
- Log på Microsoft 365 administrationscenteret, med en global administrator konto.
- Vælg Vis alle…
- Vælg Indstillinger
- Vælg Organisationsindstillinger
- Find ‘Brugerejede apps og tjenester’
- Deaktiver ‘Lad brugerne starte prøveversioner på vegne af din organisation’.
3. Forebyg tab af data
Power Platformen giver mulighed for at opsætte udveksling af data mellem mere end 300 forskellige Microsoft- og tredjepartssystemer. Set fra brugernes synspunkt, giver det en utrolig frihed til at automatisere arbejdsgange. Set fra et sikkerhedsmæssigt synspunkt, er det derimod en kæmpe udfordring, at brugerne har mulighed for at automatisere dataoverførsel til eksterne kilder, f.eks. Dropbox, personlig Onedrive eller Facebook. Hvis ikke du foretager stramninger i sikkerheden, er dette et reelt scenarie!
For at begrænse forbindelser, kan man benytte sig af politikker til forebyggelse af datatab, på engelsk kaldet ”Data loss prevention policies” (DLP). DLP giver muligheden for at dele forbindelser op i 3 forskellige klassificeringer:
Business, Non-business og blocked.
Business identificerer de forbindelser, man anser som værende nyttige for den gængse bruger, og relateret til forretningskritisk data.
Non-business er til de forbindelser, man anser at være sekundære, hvor man gerne må benytte sig af den, men ikke i forbindelse med forretningskritisk data. Har man f.eks. SharePoint som en business forbindelse og Twitter som en non-business vil man ikke kunne benytte de 2 forbindelser i samme app, proces eller BI rapport.
Blokerede Forbindelser i denne gruppering, vil slet ikke være tilgængelige. Bemærk, at Microsoft forbindelser ikke kan blokeres.
Regler og undtagelser
Bemærk, at der som standard ikke lægges begrænsninger på forbindelserne, og brugerne har derfor frit spil til at opsætte dataudvekslinger på tværs af både Microsoft og tredjeparts systemer. Det er derfor både Microsoft og vores anbefaling, at man bygger en restriktiv DLP, som strækker sig over alle miljøer. Herefter kan man tilføje yderligere politikker efter behov pr. miljø, der er mindre restriktive, f.eks. kan det være et forretningsbehov for en marketingsafdeling at forbinde CRM med Twitter. Her kan man overveje et specifikt miljø til dette formål med en marketing-specifik politik, der tillader brugen af Twitter sammen med CRM.
Du kan læse mere om hvorledes du opsætter DLP her.
Begræns standardmiljøet
Standardmiljøet er et miljø, hvor alle licenserede brugere i en organisation har oprettelsesrettigheder. SharePoint Form, personlige Power Automates og Power Apps bliver oprettet i standardmiljøet, og det er derfor vigtigt at have et særligt fokus på netop dette miljø.
Det er anbefalet, at man betragter standardmiljøet som værende et miljø til personlig produktivitet, hvorpå man begrænser brugen af standard Office 365 forbindelser.
Andre overvejelser
Når Power Platformen er taget i anvendelse, er der forskellige muligheder for at følge brugeradfærd, performance mv. fra administrationsportalen. Har der ikke tidligere været fokus på Power Platformen, kan denne rapportering give et indblik i udbredelsen i din organisation.
Microsoft tilbyder en række standardrapporter på https://admin.powerplatform.microsoft.com. Under menupunktet ”Analyse” findes mulighed for at visualisere og eksportere foruddefinerede analyser omkring Power Platformens underområder – Power Apps, Power Automate og Dataverse.
Hvis standardrapporterne ikke kan skabe det nødvendige overblik, kan man overveje at implementere ”Center of Excellence starter kit” (COE) – som er et værktøj fra Microsoft, der installeres på Power Platformen, og giver mulighed for en langt større kontrol og for at overvåge Power Platformen. Læs mere om COE på https://docs.microsoft.com/da-dk/power-platform/guidance/coe/starter-kit.