Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzanie dostępem do poufnych informacji i zasobów ma kluczowe znaczenie dla administratorów IT i dyrektorów ds. bezpieczeństwa informacji (CISO) w różnych branżach. Zapewnienie dostępu z najmniejszymi uprawnieniami jest niezbędne do utrzymania silnych zabezpieczeń.
Power Platform integruje się z usługą Tożsamość Microsoft Entra w celu zarządzania tożsamością i dostępem, umożliwiając administratorom bezpieczne zarządzanie użytkownikami i ich interakcjami z zasobami platformy Power Platform. Microsoft Entra ID jest centralnym elementem uwierzytelniania firmy Microsoft i pomaga chronić przed naruszeniem tożsamości. Tożsamość Microsoft Entra zapewnia administratorom IT widoczność i kontrolę oraz oferuje funkcje bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe i dostęp warunkowy. Zarządzane zabezpieczenia zapewniają funkcje oparte na Tożsamość Microsoft Entra, dając administratorom szczegółową kontrolę, dzięki której tylko upoważnieni użytkownicy mają dostęp do danych i zasobów.
W tym artykule wyjaśniono mechanizmy kontroli zarządzania tożsamościami i dostępem w każdej warstwie.
Dostęp dzierżawców
Dostęp na poziomie dzierżawy jest pierwszą warstwą zabezpieczeń i korzysta z Tożsamość Microsoft Entra. Gwarantuje, że użytkownicy mają aktywne konto użytkownika i przestrzegają wszelkich zasad dostępu warunkowego w celu zalogowania się. Jednak samo posiadanie aktywnego i włączonego konta nie daje dostępu do platformy. Tylko użytkownicy z odpowiednimi licencjami mogą uwierzytelniać się i korzystać z platformy.
Role administratora usługi
Możesz przypisać dwie role administratora usługi powiązanej z platformą Power Platform, aby zapewnić wysoki poziom zarządzania administratorami:
- Administrator Power Platform: Ta rola może wykonywać wszystkie funkcje administracyjne w Power Platform, niezależnie od członkostwa w grupie zabezpieczeń na poziomie środowiska.
- Administrator Dynamics 365: Ta rola może wykonywać większość funkcji administracyjnych Power Platform, ale tylko w środowiskach, w których należy do grupy zabezpieczeń.
Te role nie mogą pełnić funkcji menedżera kont użytkowników, subskrypcji i ustawień dostępu dla innych aplikacji Microsoft 365. Aby wykonać te zadania, musisz współpracować z innymi administratorami w organizacji. Aby uzyskać więcej informacji na temat uprawnień poszczególnych ról, zapoznaj się z macierzą uprawnień administratora usługi.
Tożsamości administracyjne stanowią poważne zagrożenie bezpieczeństwa, ponieważ ich zadania wymagają uprzywilejowanego dostępu do wielu systemów i aplikacji. Kompromitacja lub niewłaściwe użycie może zaszkodzić Twojej firmie i jej systemom informatycznym. Bezpieczeństwo administracji to jeden z najważniejszych obszarów zabezpieczeń.
Ochrona dostępu do danych przez określonych adwersarzy wymaga pełnego i przemyślanego podejścia do izolowania tych systemów od czynników ryzyka. Oto kilka strategii:
- Zminimalizuj liczbę kont o wpływie krytycznym.
- Użyj osobnych ról zamiast korzystać z uprawnień do istniejących tożsamości.
- Unikaj stałego dostępu, korzystając z funkcji just in time (JIT) dostawcy tożsamości. W sytuacjach wymagających natychmiastowej reakcji, należy postępować zgodnie z awaryjnym procesem dostępu. Użyj Privileged Identity Management (PIM), funkcji identyfikatora tożsamość Microsoft Entra, aby zarządzać, kontrolować i monitorować użycie tych ról o wysokim poziomie uprawnień.
- Używaj nowoczesnych protokołów dostępu , takich jak uwierzytelnianie bezhasłowe czy uwierzytelnianie wieloskładnikowe.
- Wymuszaj kluczowe atrybuty zabezpieczeń przy użyciu zasad dostępu warunkowego.
- Wycofaj konta administracyjne, które nie są używane.
Dostęp warunkowy
Dostęp warunkowy, funkcja usługi Tożsamość Microsoft Entra, umożliwia stosowanie zasad opartych na sygnałach dotyczących sytuacji użytkownika. Sygnały te pomagają ocenić poziom ryzyka i wyegzekwować odpowiednie działania. Zasady dostępu warunkowego w najprostszym ujęciu to instrukcje typu „jeśli-to”, które określają, co użytkownicy muszą zrobić, aby uzyskać dostęp do zasobu. Na przykład możesz wymagać od użytkowników korzystania z uwierzytelniania wieloskładnikowego Power Apps, jeśli chcą uzyskać dostęp do aplikacji kanwy, która śledzi proces zgodności.
Nie należy dawać wszystkich tożsamości na tym samym poziomie dostępu. Decyzje należy podejmować na podstawie dwóch głównych czynników:
- Godzina Jak długo tożsamość może mieć dostęp do środowiska.
- Uprawnienie. Poziom uprawnień.
Te czynniki nie wykluczają się wzajemnie. Tożsamość, która ma więcej uprawnień i nieograniczony czas trwania dostępu, może zyskać większą kontrolę nad systemem i danymi albo używać tego dostępu do dalszej zmiany środowiska. Ogranicz te współczynniki dostępu zarówno jako środek zapobiegawczy, jak i w celu kontroli zakresu zagrożenia.
Metody just in Time (JIT) zapewniają wymagane uprawnienia tylko wtedy, gdy są potrzebne.
Podejście Just Enough Access (JEA) zapewnia tylko wymagane uprawnienia.
Chociaż czas i uprawnienia są głównymi czynnikami, mają zastosowanie inne warunki. Można na przykład także użyć urządzenia, sieci i lokalizacji, z której pochodzi dostęp, aby ustawić zasady.
Użyj silnych testów, które filtrują, wykrywają i blokują nieautoryzowany dostęp, w tym parametrów, takich jak tożsamość i lokalizacja użytkownika, kondycja urządzenia, kontekst obciążenia, klasyfikacja danych i anomalie.
Na przykład w zależności od obciążenia mogą być potrzebne tożsamości innych firm, takie jak dostawcy, partnerzy i klienci. Wymagają one odpowiedniego poziomu dostępu zamiast domyślnych uprawnień nadanych pełnoetatowym pracownikom. Jasne różnice między kontami zewnętrznymi ułatwiają zapobieganie atakom i wykrywanie ataków przychodzących z tych wektorów.
Zaplanuj użycie zasad do wymuszania wytycznych dotyczących zabezpieczeń dla platformy Power Platform. Możesz użyć zasad, aby ograniczyć dostęp do platformy Power Platform do określonych użytkowników lub warunków, takich jak lokalizacja, używane urządzenie i zainstalowane na nim aplikacje oraz to, czy używają uwierzytelniania wieloskładnikowego. Dostęp warunkowy jest elastyczny, ale ta elastyczność może umożliwić tworzenie zasad, które mają niepożądane wyniki, w tym blokowanie własnych administratorów. Przewodnik planowania może pomóc w przemyśleniu sposobu planowania korzystania z dostępu warunkowego.
Więcej informacji:
- Blokowanie dostępu według lokalizacji za pomocą funkcji dostępu warunkowego usługi Tożsamość Microsoft Entra
- Zalecenia dotyczące dostępu warunkowego i uwierzytelniania wieloskładnikowego w Microsoft Power Automate (przepływ)
Ciągła weryfikacja dostępu
Ciągła ocena dostępu to funkcja usługi Tożsamość Microsoft Entra, która monitoruje określone zdarzenia i zmiany w celu ustalenia, czy użytkownik powinien zachować dostęp do zasobu, czy też go utracić. Uwierzytelnianie OAuth 2.0 tradycyjnie polega na tokenie dostępu wygaśnięcia, aby cofnąć dostęp użytkownika do nowoczesnych usług w chmurze. Użytkownicy, których prawa dostępu zostały zakończone, zachowują dostęp do zasobów do momentu wygaśnięcia tokenu dostępu — w przypadku platformy Power Platform, domyślnie trwa to do godziny. Dzięki ciągłej weryfikacji dostępu usługi, takie usługi Power Platform jak Dataverse ciągle oceniają zdarzenia krytyczne użytkownika i zmiany lokalizacji sieciowej. Mogą one w sposób aktywny kończyć aktywne sesje użytkowników lub wymagać ponownego uwierzytelnienia i wymuszania zmian zasad dzierżawcy prawie w czasie rzeczywistym, zamiast oczekiwania na wygaśnięcie tokenu dostępu.
W miarę jak organizacje coraz częściej wdrażają hybrydowe modele pracy i aplikacje w chmurze, tożsamość Microsoft Entra stanowi kluczową pierwotną barierę bezpieczeństwa, która chroni użytkowników i zasoby. Dostęp warunkowy wykracza poza granice sieci i obejmuje tożsamość użytkownika i urządzenia. Ciągły dostęp zapewnia, że w przypadku zmian zdarzeń lub lokalizacji użytkowników dostęp jest ponownie oceniany. Korzystając z Tożsamość Microsoft Entra wraz z produktami Power Platform, można zapewnić spójne zarządzanie bezpieczeństwem w całym portfolio aplikacji.
Zapoznaj się z tymi najlepszymi rozwiązaniami dotyczącymi zarządzania tożsamościami, aby uzyskać więcej wskazówek dotyczących używania Tożsamości Microsoft Entra z Power Platform.
Uzyskiwanie dostępu do środowisk
Środowisko Power Platform to kontener logiczny i jednostka zarządzania nadzorem, która reprezentuje granicę zabezpieczeń Power Platform. Wiele funkcji, takich jak sieć wirtualna, skrytka i grupy zabezpieczeń, działa na poziomie szczegółowości środowiska z perspektywy zarządzania. Ta szczegółowość umożliwia implementację różnych wymagań dotyczących zabezpieczeń w różnych środowiskach w zależności od potrzeb biznesowych. Użytkownicy uzyskują dostęp do środowiska na podstawie przypisanej im roli zabezpieczeń. Posiadanie licencji i tożsamości na poziomie dzierżawy nie wystarczy, aby uzyskać dostęp do środowiska, chyba że jest to środowisko domyślne.
Środowiska z Dataverse dodają wsparcie dla bardziej zaawansowanych modeli zabezpieczeń, które są specyficzne do kontrolowania dostępu do danych i usług w bazie danych Dataverse.
Przypisywanie grup zabezpieczeń do środowisk
Grupy zabezpieczeń umożliwiają kontrolowanie, którzy licencjonowani użytkownicy mogą należeć do określonego środowiska. Możesz używać grup zabezpieczeń, aby kontrolować, kto ma dostęp do zasobów w środowiskach Power Platform innych niż środowisko domyślne lub środowiska programistyczne. Połącz jedną grupę zabezpieczeń z każdym środowiskiem, które ma co najmniej jednego użytkownika lub zagnieżdżoną grupę zabezpieczeń. Użycie grupy zabezpieczeń dla każdego środowiska gwarantuje, że tylko odpowiedni użytkownicy mogą uzyskać do niego dostęp. Jeśli zautomatyzujesz proces tworzenia środowiska, możesz również zautomatyzować tworzenie grupy zabezpieczeń i upewnić się, że administratorzy mają dostęp do każdego nowego środowiska.
Administratorzy Power Platform mają dostęp do wszystkich środowisk, nawet jeśli nie znajdują się w grupie zabezpieczeń środowiska. Administratorzy Dynamics 365 muszą należeć do grupy zabezpieczeń, aby uzyskać dostęp do środowiska.
Zarządzaj użytkownikami gościnnymi
Może być konieczne umożliwienie użytkownikom-gościom dostępu do środowisk i zasobów Power Platform. Podobnie jak w przypadku użytkowników wewnętrznych, można skorzystać z warunkowego dostępu Tożsamość Microsoft Entra i ciągłej oceny dostępu, aby zapewnić gościom wysoki poziom bezpieczeństwa.
Aby jeszcze bardziej zwiększyć bezpieczeństwo i zmniejszyć ryzyko przypadkowego udostępnienia nadmiernej ilości danych, można również blokować lub włączać dostęp gości Tożsamość Microsoft Entra do środowisk opartych na Dataverse, w zależności od potrzeb. Domyślnie dostęp dla gości jest ograniczony w przypadku środowisk z obsługą Dataverse, co zapewnia bezpieczną konfigurację od samego początku. Możesz jeszcze bardziej zwiększyć swój wynik zabezpieczeń, włączając to ustawienie również dla istniejących środowisk.
Kierowanie twórców do własnego środowiska programistycznego
Przekierowanie środowiska umożliwia administratorom Power Platform automatyczne kierowanie nowych lub istniejących twórców do ich własnych środowisk programistycznych po zalogowaniu się do produktów Power Platform, takich jak Power Apps lub Copilot Studio. Zalecamy skonfigurowanie routingu środowiska, aby zapewnić twórcom osobistą, bezpieczną przestrzeń do pracy z Microsoft Dataverse bez obawy, że inne osoby uzyskają dostęp do ich aplikacji lub danych.
Dostępy do zasobów
Role bezpieczeństwa kontrolują możliwość tworzenia i uruchamiania określonych aplikacji i przepływów w środowiskach. Możesz na przykład udostępniać aplikacje Canvas bezpośrednio użytkownikowi lub grupie Microsoft Entra ID, ale nadal mają zastosowanie role zabezpieczeń w Dataverse. Jednak aplikacje oparte na modelach udostępnia się wyłącznie za pośrednictwem ról zabezpieczeń Dataverse.
Przypisywanie ról do tożsamości na podstawie ich wymagań
Autoryzuj działania na podstawie odpowiedzialności każdej tożsamości. Upewnij się, że tożsamość nie robi więcej, niż jest to konieczne. Przed ustawieniem reguł autoryzacji upewnij się, że rozumiesz, kto lub co wysyła żądania, co ta rola może robić i jaki jest zakres jej uprawnień. Te czynniki kierują decyzjami, które łączą tożsamość, rolę i zakres.
Rozważ następujące pytania:
- Czy tożsamość wymaga dostępu do odczytu lub zapisu danych? Jaki poziom dostępu do zapisu jest wymagany?
- Jeśli tożsamość zostanie naruszona przez osobę atakującą, co wpłynie na system pod względem poufności, integralności i dostępności?
- Czy tożsamości wymagają dostępu trwałego lub czy można uwzględnić dostęp warunkowy?
- Czy tożsamości powoduje wykonanie akcji wymagających uprawnień administracyjnych lub podwyższonych?
- Jak obciążenia będą współdziałać z usługami innych firm?
Rola to zestaw uprawnień przypisanych do tożsamości. Przypisywanie ról, które zezwalają tylko na to, aby tożsamość wykonała dane zadanie. Jeśli uprawnienia użytkownika są ograniczone do wymagań użytkownika, łatwiejsze jest zidentyfikowanie podejrzanych lub nieautoryzowanych zachowań w systemie.
Odpowiedz sobie na takie pytania:
- Czy tożsamość wymaga uprawnień do usuwania zasobów?
- Czy rola musi mieć dostęp tylko do utworzonych rekordów?
- Czy dostęp hierarchiczny jest wymagany w oparciu o jednostkę biznesową, w której znajduje się użytkownik?
- Czy rola wymaga uprawnień administracyjnych lub o wysokim poziomie uprawnień?
- Czy rola wymaga trwałego dostępu do tych uprawnień?
- Co się stanie, jeśli użytkownik zmieni stanowiska?
Ograniczenie poziomu dostępu użytkowników zmniejsza potencjalną powierzchnię ataku. Jeśli zostaną nadane jedynie minimalne uprawnienia wymagane do wykonywania określonych zadań, ryzyko udanego ataków lub nieautoryzowany dostęp jest znacząco mniejsze. Na przykład programiści potrzebują tylko dostępu twórcy do środowiska programistycznego, ale nie do środowiska produkcyjnego. Potrzebują dostępu, aby tworzyć zasoby, ale nie mogą zmieniać właściwości środowiska. Mogą potrzebować dostępu do odczytu/zapisu danych z Dataverse, ale nie do zmiany modelu danych lub atrybutów tabeli Dataverse.
Należy unikać uprawnień, które są ukierunkowane na pojedynczych użytkowników. Szczegółowe i niestandardowe uprawnienia tworzą złożoność i zamieszanie. Mogą one stać się trudne do utrzymania, ponieważ użytkownicy zmieniają role i przechodzą przez firmę lub gdy nowi użytkownicy z podobnymi wymaganiami dotyczącymi uwierzytelniania dołączają do zespołu. Ta sytuacja może utworzyć złożoną, starszą konfigurację, która jest trudna do obsługi, co może mieć wpływ zarówno na bezpieczeństwo, jak i niezawodność.
Przydzielaj role, które zaczynają się od najniższych uprawnień, i dodawaj kolejne w zależności od potrzeb operacyjnych lub dostępu do danych. Zespoły techniczne muszą mieć jasne wskazówki dotyczące implementowania uprawnień.
Ustanawianie procesów zarządzania cyklem życia tożsamości
Dostęp do tożsamości nie może trwać dłużej niż zasoby dostępne dla tożsamości. Upewnij się, że masz proces wyłączania lub usuwania tożsamości w przypadku wystąpienia zmian w strukturze zespołu lub składnikach oprogramowania.
Ustanów proces zarządzania tożsamością w celu kierowania cyklem życia tożsamości cyfrowych, użytkowników z wysokimi uprawnieniami, użytkowników zewnętrznych lub gości oraz użytkowników obciążenia roboczego. Zaimplementuj przeglądy dostępu w celu zapewnienia, że gdy tożsamości opuszczą organizację lub zespół, zostaną usunięte ich uprawnienia dotyczące obciążenia.
Konfigurowanie limitów udostępniania
Ponieważ wyścig o przyjęcie sztucznej inteligencji jest traktowany priorytetowo we wszystkich branżach, administratorzy starają się rozwiązać problem ryzyka nadmiernego udostępniania zasobów. Zarządzane zabezpieczenia obsługują szczegółowe limity udostępniania dla aplikacji opartej na kanwie i przepływów w chmurze obsługujących rozwiązania, uniemożliwiając twórcom udostępnianie przepływów między grupami zabezpieczeń i osobami fizycznymi.
W przypadku scenariuszy agenta Copilot Studio administratorzy mają szczegółowe mechanizmy kontroli nad uprawnieniami edytora i przeglądającego dla poszczególnych środowisk lub grup środowisk. Mogą również ograniczać widzów do określonych grup zabezpieczeń, osób lub określonej liczby przeglądających.
Oprócz tych szczegółowych ograniczeń udostępniania, ogranicz również możliwość korzystania przez twórców z Wszyscy, aby udostępniać innym aplikacje w organizacji.
Więcej informacji:
- Udostępnianie aplikacji kanwy
- Udostępnianie aplikacji kanwy w organizacji gościom
- Udostępnianie przepływu w chmurze
- Udostępnianie agentów innym użytkownikom
Połącz się z zasobami platformy Azure, które obsługują tożsamość zarządzaną
Aby zminimalizować ryzyko związane z uzyskiwaniem dostępu do zasobów zewnętrznych, obsługa tożsamości zarządzanej dla wtyczek Usługi Dataverse zapewnia bezpieczne i bezproblemowe uwierzytelnianie. Ta obsługa eliminuje potrzebę zakodowanych poświadczeń i upraszcza zarządzanie dostępem do zasobów.
Dataverse dostęp
Usługa Dataverse używa zaawansowanego modelu zabezpieczeń w celu ochrony integralności danych i prywatności użytkowników przy jednoczesnym promowaniu wydajnego dostępu do danych i współpracy. Można połączyć jednostki biznesowe, zabezpieczenia oparte na rolach, zabezpieczenia oparte na wierszach i zabezpieczenia oparte na kolumnach, aby zdefiniować ogólny dostęp do informacji, które użytkownicy mają w środowisku platformy Power Platform. Kontrola dostępu oparta na rolach (RBAC) umożliwia definiowanie uprawnień dostępu i zarządzanie dostępem do danych w skalowalny sposób. Korzystając z różnych wbudowanych lub dostosowanych ról zabezpieczeń, można udzielić uprawnień na poziomie bazy danych, tabeli lub określonego rekordu.
Dataverse umożliwia szczegółową kontrolę dostępu w celu zarządzania rolami zabezpieczeń autoryzacji i na poziomie danych. Te role definiują ochronę wierszy, pól, hierarchii i grup, które zapewniają stopień szczegółowości i elastyczność wymaganą do zabezpieczania wysoce poufnych danych biznesowych w aplikacjach.
Microsoft Purview Data Map to zunifikowane i zautomatyzowane rozwiązanie, które umożliwia wykrywanie, klasyfikowanie i oznaczanie danych wrażliwych w różnych źródłach danych i domenach, w tym . Etykietowanie za pomocą usługi Purview Data Map umożliwia organizacjom automatyczne klasyfikowanie danych i łatwe identyfikowanie danych poufnych. Dzięki integracji Purview Data Map można ograniczyć nakład pracy ręcznej i liczbę błędów ludzkich związanych z oznaczaniem danych w Dataverse, stosując predefiniowane reguły i zasady dostosowane do potrzeb biznesowych i wymogów zgodności.
Zrozumienie wymagań dotyczących zarządzania tożsamością i dostępem
Jako klient jesteś odpowiedzialny za:
- Zarządzanie kontami i tożsamością
- Tworzenie i konfigurowanie zasad dostępu warunkowego
- Tworzenie i przypisywanie ról bezpieczeństwa
- Włączanie i konfigurowanie inspekcji i monitorowania
- Uwierzytelnianie i bezpieczeństwo składników, z którymi może łączyć się platforma Power Platform
Zapoznaj się z kluczowymi wymaganiami dotyczącymi wdrażanego obciążenia Power Platform. Zadaj sobie następujące pytania, aby ułatwić identyfikowanie funkcji zarządzania tożsamościami i dostępem do skonfigurowania.
- Jak zaimplementować mechanizmy kontroli dostępu i uwierzytelniania, aby upewnić się, że tylko autoryzowani użytkownicy mogą uzyskać dostęp do obciążenia?
- Jak zapewnić bezpieczne i bezproblemowe uwierzytelnianie użytkowników?
- Jak kontrolować, które aplikacje mogą wchodzić w interakcje z generatywną sztuczną inteligencją (agent) i jakie środki zapewniają skuteczność tych ograniczeń?
- W jaki sposób obciążenie bezpiecznie integruje się z innymi systemami wewnętrznymi i zewnętrznymi?
- Skąd użytkownicy uzyskują dostęp do tego rozwiązania? Na przykład, czy korzystają z urządzenia mobilnego czy przeglądarki internetowej?
- Czy Twoi użytkownicy są wewnętrzni, zewnętrzni, czy może zarówno wewnętrzni, jak i zewnętrzni?
Rekomendacje
Skuteczne zarządzanie twórcami, użytkownikami i gośćmi ma zasadnicze znaczenie dla utrzymania bezpieczeństwa, zgodności z przepisami i wydajności operacyjnej w środowiskach Power Platform. Oto szczegółowe zalecenia dotyczące zarządzania dostępem i uprawnieniami:
Rozsyłanie twórców do ich własnego środowiska programistycznego: użyj routingu środowiska, aby zachęcić twórców do używania własnych osobistych środowisk programistycznych do tworzenia i testowania aplikacji. Takie podejście izoluje działania programistyczne od środowisk produkcyjnych, zmniejszając ryzyko przypadkowych zmian lub zakłóceń. Środowiska rozwoju osobistego zapewniają bezpieczną przestrzeń do eksperymentowania i innowacji bez wpływu na krytyczne operacje biznesowe.
Nie zezwalaj na uprawnienia twórcy w środowiskach testowych i produkcyjnych: ogranicz uprawnienia twórcy w środowiskach testowych i produkcyjnych, aby zapobiec nieautoryzowanym zmianom i upewnić się, że wdrażane są tylko zatwierdzone i dokładnie przetestowane aplikacje. Taki podział obowiązków pomaga utrzymać integralność i stabilność systemów produkcyjnych, minimalizując ryzyko błędów i luk w zabezpieczeniach.
Kontrolowanie dostępu przy użyciu ról zabezpieczeń z najmniejszymi uprawnieniami: Zaimplementuj kontrolę dostępu opartą na rolach (RBAC), aby przypisać uprawnienia na podstawie zasady najmniejszych uprawnień. Udziel użytkownikom dostępu tylko do wykonywania określonych zadań. Ograniczając uprawnienia, zmniejszasz obszar ataku i minimalizujesz potencjalny wpływ naruszeń zabezpieczeń.
Diagnozowanie problemów z dostępem użytkowników poprzez wywołanie funkcji „Uruchom diagnostykę”: Użyj polecenia Uruchom diagnostykę, aby rozwiązać problemy i zdiagnozować problemy z dostępem użytkowników. To narzędzie pomaga identyfikować i rozwiązywać problemy związane z uprawnieniami, zapewniając, że użytkownicy mają odpowiedni dostęp do wykonywania swoich zadań. Regularna diagnostyka może również pomóc w wykrywaniu i eliminowaniu potencjalnych luk w zabezpieczeniach.
Ogranicz udostępnianie wszystkim i rozważ skonfigurowanie określonych ograniczeń: unikaj szerokich uprawnień udostępniania, które pozwalają wszystkim na dostęp do zasobów. Skonfiguruj określone limity udostępniania, aby kontrolować, ilu użytkownikom twórcy mogą udostępniać swoje aplikacje i dane.
Stosowanie zasad danych do środowisk domyślnych i deweloperskich: stosowanie zasad danych do środowisk domyślnych i deweloperskich w celu ograniczenia dostępu tylko do potrzebnych łączników. Takie podejście pomaga zapobiegać nieautoryzowanym transferom danych i zapewnia ochronę poufnych informacji. Regularne przeglądanie i aktualizowanie zasad danych w celu dostosowania ich do zmieniających się wymagań dotyczących zabezpieczeń.
Użyj Microsoft Entra grup identyfikatorów, aby zabezpieczyć dostęp do środowiska: Użyj Microsoft Entra grup identyfikatorów, aby zarządzać dostępem do środowisk i zabezpieczać go Power Platform . Grupując użytkowników na podstawie ich ról i obowiązków, możesz efektywnie przypisywać uprawnienia i zarządzać nimi. Grupy Tożsamość Microsoft Entra upraszczają również proces aktualizowania kontroli dostępu w miarę rozwoju potrzeb organizacyjnych.
Usługa Dataverse umożliwia korzystanie z wbudowanego elastycznego modelu zabezpieczeń RBAC: usługa Dataverse udostępnia wbudowany, elastyczny model zabezpieczeń kontroli dostępu opartej na rolach, który umożliwia efektywne zarządzanie uprawnieniami użytkowników i dostępem do danych. Ten model umożliwia definiowanie ról niestandardowych i przypisywanie określonych uprawnień na podstawie funkcji zadań i obowiązków. Upewnij się, że użytkownicy mają tylko niezbędny dostęp do wykonywania swoich zadań. Dzięki takim funkcjom, jak szczegółowe uprawnienia, hierarchiczne zabezpieczenia i dostęp oparty na zespołach, model RBAC platformy Dataverse zwiększa ochronę danych, wspiera zgodność z wymogami regulacyjnymi i upraszcza zarządzanie dostępem użytkowników w środowiskach Power Platform.
Następne kroki
Zapoznaj się ze szczegółowymi artykułami z tej serii, aby jeszcze bardziej ulepszyć pozycję bezpieczeństwa:
- Wykrywanie zagrożeń dla organizacji
- Ustanawianie mechanizmów kontroli ochrony danych i prywatności
- Implementowanie strategii zasad danych
- Spełnianie wymagań dotyczących zgodności.
- Zabezpieczanie środowiska domyślnego
Po przejrzeniu artykułów przejrzyj listę kontrolną zabezpieczeń, aby upewnić się, że wdrożenia Power Platform są niezawodne, odporne i zgodne z najlepszymi praktykami.