Power Apps können in der Standardkonfiguration von jedem Benutzer mit einer Power Apps Lizenz erstellt werden. Soll es nur definierten Benutzern möglich sein ist die Standardumgebung dafür nicht geeignet. Es benötigt eine zweite Power Plattform Umgebung.
Pro Microsoft 365 Tenant wird eine Power Plattform Umgebung mit einer Kapazität von 3 GB Datenbankspeicherplatz erstellt und als Standardumgebung definiert. Im Power Plattform Admin Center ist diese gelistet und wird in der Hilfe beschrieben.
Die Standardumgebung ist für Integrationen in SharePoint gedacht und kann berechtigungsmässig teils nur beschränkt beeinflusst werden.
Default Environment
Everyone in your tenant has permissions to create apps and flows here. There currently is no way to block the Environment Maker role assignment in this environment. This is also the environment that is used for first-party integrations, like creating an app from a SharePoint list.
Was der Vermerk von Microsoft bedeutet wird sichtbar sofern jemand die Berechtigungen von Environment Maker anpassen möchte. Jede Power Plattform Umgebung hat eigene Security Rollen und Benutzer, so auch die Standardumgebung von Microsoft.
Ist ein Konto für Power Apps lizenziert wird es der Standardumgebung als neues Konto hinzugefügt und zwei vordefinierten Dynamics 365 Security Rollen zugeordnet.
- Basic User
- Environment Maker
Hat ein Konto im Tenant zusätzlich die Admin Rolle “Power Apps Administrator” erhält die Person in allen Power Plattform Umgebungen noch die Security Rolle System Administrator. Wird einem Konto in der Standardumgebung eine der vordefinierten Rollen manuell entfernt fügt das System die Rollen beim nächsten Refresh wieder selbstständig hinzu.
Werden die Berechtigungen der zwei vordefinierten Rollen Basic User und Environment Maker überprüft fällt auf das die Möglichkeit zur Erstellung von Canvas Apps immer aktiv ist.
Im einfachen Fall könnte ein Admin die Berechtigung zur Erstellung deaktivieren. Praktisch gesehen sollte damit ein neues Konto keine Canvas Apps mehr erstellen können. Wie es aussieht ignoriert das System die Konfiguration in der Standardumgebung. Unabhängig ob die Berechtigungskonfiguration aktiv oder inaktiv ist können Canvas Apps erstellt werden. Es kann auch alles inaktiv sein und Canvas Apps lassen sich in der Umgebung trotzdem erstellen.
Interessant ist in dem Zusammenhang der Unterschied zu Model-driven Apps, einem zweiten Typ von Power Apps.
Für Model-driven Apps gibt es in den Berechtigungen ebenfalls eine Option Erstellung möglich / nicht möglich. Für die Rolle Environment Maker ist es standardmässig aktiviert. Das grüne Symbol bedeutet für alle in der Organisation.
Wird die Erstellmöglichkeit für Model-driven Apps deaktiviert übernimmt das System die Berechtigung. Versucht jemand eine Model-driven App anzulegen wird es im Unterschied zu Canvas Apps verweigert.
Für die Strategie der Power Plattform Umgebungen hat Microsoft einen längeren Blogpost erfasst. Als Lösung sieht Microsoft vor für produktive Canvas Apps neue Power Plattform Umgebungen anzulegen und die Standardumgebung so zu belassen wie sie ist (da es für Canvas Apps und Flow in SharePoint vorgesehen ist). In neuen Umgebungen können Administratoren die Erstellung von neuen Canvas Apps über Berechtigungen deaktivieren.
Ob jemand eine neue Umgebung erstellen kann ist abhängig zum Dataverse Storage (bei produktiven Umgebungen) oder der eingesetzten Lizenz (bei nicht produktiven Umgebungen). Pro produktiver Umgebung ist zumindest die Kapazität von 1 GB Datenbankspeicherplatz erforderlich. Der Speicherplatz kann als Add-on in GB erworben werden. Dataverse Storage wird im M365 Admin Center aktuell noch unter dem alten Namen Common Data Service Database Capacity gelistet.
Wurde eine neue Umgebung erstellt können die Berechtigungen für Security Rollen wie oben erwähnt angepasst werden.