หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
ในภูมิทัศน์ดิจิทัลของปัจจุบัน การปกป้องข้อมูลและการรักษาความเป็นส่วนตัวถือเป็นสิ่งสำคัญสำหรับองค์กรที่ใช้ Power Platform ในการสร้างและปรับใช้แอปพลิเคชันทางธุรกิจ การรับรองความปลอดภัยและความลับของข้อมูลที่ละเอียดอ่อนถือเป็นข้อกำหนดทางกฎหมายและเป็นปัจจัยสำคัญในการรักษาความไว้วางใจของลูกค้าและปกป้องทรัพย์สินขององค์กร
บทความนี้จะอธิบายกลยุทธ์สำคัญและแนวทางปฏิบัติที่ดีที่สุดสำหรับการปกป้องข้อมูลและความเป็นส่วนตัวใน Power Platform
การปกป้องข้อมูล
การปกป้องข้อมูลเกี่ยวข้องกับการนำมาตรการมาใช้เพื่อรักษาความปลอดภัยของข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิด และภัยคุกคามอื่นๆ ความเป็นส่วนตัวมุ่งเน้นที่การทำให้แน่ใจว่าข้อมูลส่วนบุคคลและข้อมูลละเอียดอ่อนได้รับการจัดการตามข้อกำหนดทางกฎหมายและข้อบังคับ และเคารพสิทธิความเป็นส่วนตัวของบุคคล
ที่เก็บข้อมูล
ผู้เช่า Microsoft Entra จัดเก็บข้อมูลที่เกี่ยวข้องกับองค์กรและความปลอดภัยขององค์กร เมื่อผู้เช่า Microsoft Entra ลงทะเบียนสำหรับบริการ Power Platform ประเทศหรือภูมิภาคที่เลือกของผู้เช่าจะถูกแมปกับภูมิศาสตร์ Azure ที่เหมาะสมที่สุดโดยที่ Power Platform มีการปรับใช้อยู่ Power Platform จัดเก็บข้อมูลลูกค้าในพื้นที่ภูมิศาสตร์ Azure ที่กำหนดโดยผู้เช่า (ภูมิศาสตร์หลัก) เว้นแต่ว่าองค์กรจะปรับใช้บริการในหลายภูมิภาค เรียนรู้เพิ่มเติมเกี่ยวกับ การจัดเก็บและการกำกับดูแลข้อมูลใน Power Platform
สำหรับบริษัทระหว่างประเทศที่มีพนักงานและลูกค้าที่กระจายอยู่ทั่วโลก คุณจะสามารถสร้างและจัดการสภาพแวดล้อมเฉพาะของภูมิภาคส่วนกลางของคุณได้ คุณสามารถสร้างสภาพแวดล้อมในภูมิภาคอื่น ที่ไม่ใช่ที่ผู้เช่าของคุณอาศัยอยู่ได้ สภาพแวดล้อมท้องถิ่นสามารถให้การเข้าถึงข้อมูลได้อย่างรวดเร็วสำหรับผู้ใช้ในภูมิภาคนั้น เรียนรู้เพิ่มเติมเกี่ยวกับคุณลักษณะของสภาพแวดล้อมหลายแบบใน การปรับใช้หลายสภาพแวดล้อม
การแยกข้อมูล
Power Platform ทำงานบน Azure ดังนั้นจึงเป็นบริการแบบหลายผู้เช่าโดยธรรมชาติ การปรับใช้และเครื่องเสมือนของลูกค้าหลายรายใช้ฮาร์ดแวร์ทางกายภาพตัวเดียวกัน Azure ใช้การแยกเชิงตรรกะเพื่อแยกข้อมูลของลูกค้าแต่ละราย แนวทางนี้ให้ประโยชน์ด้านขนาดและเศรษฐกิจของบริการแบบผู้เช่าหลายรายในขณะที่รับประกันว่าลูกค้าไม่สามารถเข้าถึงข้อมูลของกันและกันได้
เรียนรู้เพิ่มเติม: การปกป้องข้อมูลลูกค้า Azure
การเข้ารหัสลับข้อมูล
ข้อมูลถือเป็นทรัพย์สินที่มีค่าที่สุดขององค์กร และการเข้ารหัสถือเป็นแนวป้องกันที่แข็งแกร่งที่สุดในกลยุทธ์การรักษาความปลอดภัยข้อมูลแบบหลายชั้น บริการและผลิตภัณฑ์ระบบคลาวด์สำหรับธุรกิจของ Microsoft ใช้การเข้ารหัสเพื่อปกป้องข้อมูลลูกค้า และช่วยให้คุณคงการควบคุมไว้ได้
Power Platform เข้ารหัสข้อมูลทั้งที่อยู่นิ่งและระหว่างการขนส่งด้วยคีย์ที่ Microsoft จัดการอย่างแข็งแกร่งตามค่าเริ่มต้น
เรียนรู้เพิ่มเติม:
สำหรับองค์กรที่ต้องการควบคุมความปลอดภัยและการปฏิบัติตามข้อกำหนดของข้อมูลมากขึ้น คีย์ที่จัดการโดยลูกค้า (CMK) จะปกป้องข้อมูลในระหว่างการส่งและขณะอยู่นิ่ง พร้อมทั้งมอบการควบคุมคีย์การเข้ารหัสให้กับองค์กรเพื่อเพิ่มความปลอดภัยของข้อมูล ข้อมูลลูกค้าทั้งหมดที่จัดเก็บไว้ใน Power Platform ได้รับการเข้ารหัสเมื่อไม่ได้ใช้งานด้วยคีย์การเข้ารหัสลับที่จัดการโดย Microsoft ที่แข็งแกร่งตามค่าเริ่มต้น Microsoft จัดเก็บและจัดการคีย์การเข้ารหัสฐานข้อมูลสำหรับข้อมูลของคุณ ดังนั้นคุณจึงไม่ต้องทำ อย่างไรก็ตาม Power Platform มีคีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMK) สำหรับการควบคุมการปกป้องข้อมูลที่เพิ่มเข้ามา ซึ่งคุณสามารถจัดการคีย์การเข้ารหัสลับฐานข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อม Microsoft Dataverse ของคุณได้ด้วยตนเอง สิ่งนี้ช่วยให้คุณหมุนเวียนหรือสลับคีย์การเข้ารหัสตามต้องการ และป้องกันการเข้าถึงข้อมูลลูกค้าของคุณโดย Microsoft โดยการเพิกถอนการเข้าถึงคีย์สำหรับบริการของเราได้ตลอดเวลา
เรียนรู้เพิ่มเติม:
- จัดการคีย์การเข้ารหัสลับของสภาพแวดล้อมที่จัดการโดยลูกค้า
- ล็อคสภาพแวดล้อมโดยการเพิกถอนสิทธิ์การเข้าถึงคีย์วอลต์และ/หรือสิทธิ์อนุญาตคีย์
นโยบายข้อมูล
นโยบายข้อมูล Power Platform เป็นกฎและแนวทางที่ออกแบบมาเพื่อปกป้องข้อมูลที่ละเอียดอ่อนภายในสภาพแวดล้อมของ Power Platform นโยบายเหล่านี้ช่วยป้องกันการแบ่งปันและการถ่ายโอนข้อมูลที่ไม่ได้รับอนุญาตโดยการควบคุมวิธีการไหลของข้อมูลระหว่างตัวเชื่อมต่อและสภาพแวดล้อมที่แตกต่างกัน
การสร้างกลยุทธ์นโยบายข้อมูล Power Platform เป็นสิ่งสําคัญในการปกป้องข้อมูลที่ละเอียดอ่อน ตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามกฎระเบียบ และลดความเสี่ยงของการถูกละเมิดข้อมูลและการแชร์ข้อมูลที่ไม่ได้รับอนุญาต:
เรียนรู้เพิ่มเติม:
ข้อจำกัดขาเข้าและขาออกระหว่างผู้เช่า
การแยกผู้เช่า เป็นคุณลักษณะด้านความปลอดภัยที่ช่วยให้คุณควบคุมและจำกัดวิธีที่ตัวเชื่อมต่อที่ใช้ Microsoft Entra การตรวจสอบสิทธิ์ ID สามารถเข้าถึงข้อมูลจากผู้เช่ารายอื่นได้ คุณลักษณะนี้มีประโยชน์สำหรับองค์กรที่จำเป็นต้องรักษาขอบเขตข้อมูลที่เข้มงวดระหว่างบริษัทในเครือหรือพันธมิตรภายนอกต่างๆ
ตามค่าเริ่มต้น การแยกผู้เช่าจะปิดอยู่ และตัวเชื่อมต่อสามารถเข้าถึงข้อมูลข้ามผู้เช่าได้ เว้นแต่จะมีนโยบายข้อมูลอื่นอยู่ การแยกผู้เช่าใช้กับตัวเชื่อมต่อทั้งหมดที่ใช้การตรวจสอบสิทธิ์ ID Microsoft Entra
เมื่อกำหนดค่าการแยกผู้เช่า โปรดพิจารณาข้อกำหนดการเข้าถึงข้อมูลที่เฉพาะเจาะจงและความต้องการการทำงานร่วมกันของผู้เช่าแต่ละราย ตรวจสอบให้แน่ใจว่าการตั้งค่าการแยกสอดคล้องกับนโยบายความปลอดภัยและข้อกำหนดการปฏิบัติตามขององค์กรของคุณ ตรวจสอบและอัปเดตการกำหนดค่าการแยกเป็นประจำเพื่อให้เหมาะสมกับความต้องการทางธุรกิจที่เปลี่ยนแปลงและภัยคุกคามด้านความปลอดภัย การกำหนดค่าการแยกผู้เช่าอย่างถูกต้องจะช่วยป้องกันการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต ลดความเสี่ยงของการละเมิดข้อมูล และช่วยให้แน่ใจว่าข้อมูลที่ละเอียดอ่อนยังคงอยู่ในขอบเขตที่ต้องการ
ความปลอดภัยของเครือข่าย
Power Platform สถาปัตยกรรมบริการช่วยให้คุณสามารถสร้างโซลูชันแอปธุรกิจแบบครบวงจรที่ใช้ข้อมูลจากทั้งบริการภายในและภายนอกด้วยตัวเชื่อมต่อ โซลูชันจำนวนมากยังเชื่อมต่อกับทรัพยากรภายในองค์กรและบนคลาวด์ขององค์กรของคุณอีกด้วย ในหัวข้อนี้ เราจะสำรวจคุณลักษณะด้านความปลอดภัยของเครือข่ายและช่วยให้คุณเรียนรู้วิธีการนำบริการและโซลูชัน Power Platform ไปปรับใช้กับการออกแบบความปลอดภัยของเครือข่ายของคุณ Power Platform
แท็กบริการเครือข่าย
Power Platform เป็นบริการบนคลาวด์ที่ต้องเชื่อมต่อกับอินเทอร์เน็ต Microsoft เผยแพร่ชุด IP ชื่อโฮสต์ และแท็กบริการที่แสดงถึงบริการ Power Platform เพื่อให้คุณอนุญาตการเข้าถึง เพื่อลดความเสี่ยงของการโจมตี ให้กำหนดค่าเหล่านี้ในไฟร์วอลล์หรือเพิ่มลงในการตั้งค่าพร็อกซีเบราว์เซอร์เพื่อเข้าถึงจุดสิ้นสุดที่เกี่ยวข้อง
แท็กการบริการแสดงถึงกลุ่มคำนำหน้าที่อยู่ IP จากบริการ Azure ที่กำหนด Microsoft จัดการคำนำหน้าที่อยู่ที่ล้อมรอบด้วยแท็กบริการ และอัปเดตแท็กบริการโดยอัตโนมัติเมื่อมีการเปลี่ยนแปลงที่อยู่ ช่วยลดความซับซ้อนของการอัปเดตกฎความปลอดภัยเครือข่ายบ่อยครั้ง
โปรดดู รายการแท็กบริการที่มีอยู่ทั้งหมด เพื่อกำหนดค่ากฎความปลอดภัยของเครือข่ายของคุณ
ตัวเชื่อมต่อจำเป็นต้องเข้าถึงที่อยู่ IP ขาออกในภูมิภาคศูนย์ข้อมูลของคุณ หากสภาพแวดล้อมหรือไฟร์วอลล์ของคุณบล็อกที่อยู่เหล่านี้ ตัวเชื่อมต่อจะไม่ทำงาน ในขณะที่ตัวเชื่อมต่อส่วนใหญ่ใช้พอร์ต 443 ของ HTTPS บางตัวอาจใช้โปรโตคอลอื่น ตรวจสอบข้อกำหนดเฉพาะสำหรับขั้วต่อที่คุณใช้ ที่อยู่ IP และแท็กบริการจะแตกต่างกันไปตามภูมิภาคและสภาพแวดล้อมที่แอปหรือโฟลว์ตั้งอยู่ โปรดดู รายการทั้งหมดของ Power Platform ที่อยู่ IP และแท็กบริการ เพื่อตั้งค่ารายการอนุญาตของคุณอย่างถูกต้อง
การเชื่อมต่อกับแหล่งข้อมูล
Power Platform เชื่อมต่อและพิสูจน์ตัวตนกับแหล่งข้อมูลโดยใช้ตัวเชื่อมต่อต่างๆ ที่ช่วยให้บูรณาการกับระบบและบริการภายนอกได้อย่างราบรื่น
เรียนรู้เพิ่มเติม: การเชื่อมต่อและการตรวจสอบสิทธิ์กับแหล่งข้อมูล
การรองรับเครือข่ายเสมือน
ด้วยการรองรับ เครือข่ายเสมือน Azure สำหรับ Power Platform คุณสามารถรวม Power Platform กับทรัพยากรภายในเครือข่ายเสมือนของคุณได้โดยไม่เปิดเผยทรัพยากรของคุณผ่านอินเทอร์เน็ตสาธารณะ การรองรับเครือข่ายเสมือนใช้ การมอบสิทธิ์เครือข่ายย่อย Azure เพื่อจัดการการรับส่งข้อมูลขาออกจาก Power Platform ขณะรันไทม์ การใช้การมอบหมายซับเน็ต Azure จะช่วยหลีกเลี่ยงความจำเป็นในการใช้ทรัพยากรที่ได้รับการป้องกันผ่านทางอินเทอร์เน็ตเพื่อบูรณาการ Power Platform ด้วยการรองรับเครือข่ายเสมือน ส่วนประกอบ Power Platform สามารถเรียกทรัพยากรที่องค์กรของคุณเป็นเจ้าของภายในเครือข่ายของคุณ ไม่ว่าจะโฮสต์อยู่ใน Azure หรือในสถานที่ และใช้ปลั๊กอินและตัวเชื่อมต่อเพื่อทำการโทรออก
เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลผ่านปลั๊กอินและตัวเชื่อมต่อ คุณสามารถใช้การรักษาความปลอดภัยเครือข่ายเพื่อปกป้องการรับส่งข้อมูลทั้งขาเข้าและขาออก Power Platform รองรับการรวมเครือข่ายเสมือน (vNet) สำหรับทั้ง ตัวเชื่อมต่อและ Dataverse ปลั๊กอิน รวมถึง Microsoft Copilot Studio การรวม โดยมอบการเชื่อมต่อส่วนตัวขาออกจาก Power Platform ไปยังทรัพยากรภายใน vNet ของคุณ
ไฟร์วอลล์ IP สำหรับสภาพแวดล้อม Power Platform
คุณลักษณะไฟร์วอลล์ IP ใน ช่วยเพิ่มชั้นความปลอดภัยอีกชั้นด้วยการควบคุมปริมาณการรับส่งข้อมูลเข้าสู่สภาพแวดล้อม ของคุณ Power Platform Power Platform คุณลักษณะนี้ช่วยให้ผู้ดูแลระบบสามารถกำหนดและบังคับใช้การควบคุมการเข้าถึงตาม IP เพื่อให้แน่ใจว่าเฉพาะที่อยู่ IP ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงสภาพแวดล้อมได้ เมื่อเปิดใช้งาน ไฟร์วอลล์ IP จะประเมินที่อยู่ IP ของแต่ละคำขอแบบเรียลไทม์ และอนุญาตหรือปฏิเสธการเข้าถึงตามช่วง IP ที่กำหนดค่าไว้
ตัวอย่างเช่น หากคุณเปิดใช้งานไฟร์วอลล์ IP และจำกัดการเข้าถึง Dataverse เฉพาะที่อยู่ IP เครือข่ายสำนักงานของคุณเท่านั้น ผู้ใช้จะไม่สามารถเข้าถึง Dataverse จากตำแหน่งอื่นได้ ไฟร์วอลล์ IP ยังป้องกันการโจมตีแบบรีเพลย์โทเค็น ช่วยให้มั่นใจได้ว่าไม่สามารถใช้โทเค็นการเข้าถึงจากตำแหน่งเครือข่ายที่ไม่ได้รับอนุญาตได้ การร้องขอใด ๆ ก็ตามจะล้มเหลว เนื่องจากไฟร์วอลล์ IP ทำงานที่เลเยอร์เครือข่าย จึงส่งผลกระทบต่อทั้งแอปและ API ที่ใช้ Dataverse คุณสามารถกำหนดค่าไฟร์วอลล์ IP สำหรับแต่ละสภาพแวดล้อมได้ ช่วยให้คุณกำหนดได้ว่าสภาพแวดล้อมใดจำเป็นต้องมีการป้องกันที่เข้มงวดยิ่งขึ้น ตัวอย่างเช่น คุณอาจอนุญาตให้เข้าถึงสภาพแวดล้อมการพัฒนาของคุณได้อย่างไม่มีข้อจำกัด ในขณะที่จำกัดการเข้าถึงสภาพแวดล้อมการทดสอบและการผลิตของคุณ
ป้องกันการโจมตีแบบไฮแจ็คเซสชันใน Dataverse
ป้องกันการโจมตีแบบแฮ็กเซสชัน Dataverse ด้วย การผูกคุกกี้ตามที่อยู่ IP สมมติว่าผู้ใช้ที่ไม่หวังดีคัดลอกคุกกี้เซสชันที่ถูกต้องจากคอมพิวเตอร์ที่ได้รับอนุญาตซึ่งเปิดใช้งานการผูกข้อมูล IP ของคุกกี้ จากนั้นผู้ใช้พยายามใช้คุกกี้บนคอมพิวเตอร์เครื่องอื่นเพื่อเข้าถึง Dataverse โดยไม่ได้รับอนุญาต ในเวลาจริง Dataverse จะเปรียบเทียบที่อยู่ IP ของที่มาของคุกกี้กับที่อยู่ IP ของคอมพิวเตอร์ที่ส่งคำขอ หากทั้งคู่แตกต่างกัน ความพยายามจะถูกบล็อก และข้อความแสดงข้อผิดพลาดจะปรากฏขึ้น
เชื่อมต่อกับทรัพยากรภายในสถานที่
เกตเวย์ภายในองค์กร ช่วยให้แอปและการทำงานอัตโนมัติบนคลาวด์ใช้ทรัพยากรภายในองค์กรอย่างปลอดภัย Power Platform คุณสามารถใช้เกตเวย์เพื่อเชื่อมต่อกับข้อมูลภายในองค์กรจากแหล่งต่างๆ เช่น ระบบไฟล์ DB2, Oracle, SAP ERP, SQL Server และ SharePoint เกตเวย์ใช้ Azure Relay เพื่อให้สามารถเข้าถึงทรัพยากรภายในองค์กรได้อย่างปลอดภัย Azure Relay สามารถเปิดเผยบริการภายในเครือข่ายของคุณให้กับคลาวด์สาธารณะอย่างปลอดภัยโดยไม่ต้องเปิดพอร์ตบนไฟร์วอลล์ของคุณ เกตเวย์ใช้พอร์ตขาออกเหล่านี้: TCP 443, 5671, 5672 และ 9350–9354 เกตเวย์ไม่จำเป็นต้องมีพอร์ตขาเข้า
เกตเวย์หนึ่งแห่งสามารถให้ผู้ใช้หลายรายสามารถเข้าถึงแหล่งข้อมูลหลายแหล่งได้ คุณสามารถควบคุมได้ว่าใครสามารถติดตั้งเกตเวย์ข้อมูลภายในสถานที่ในผู้เช่าของคุณได้ แต่ไม่สามารถควบคุมได้ที่ระดับสภาพแวดล้อม
บทบาทเกตเวย์ต่อไปนี้จัดการความปลอดภัยของเกตเวย์และการเชื่อมต่อ:
- ผู้ดูแลระบบ: ผู้ใช้ใดก็ตามที่ติดตั้งเกตเวย์จะได้รับการกำหนดบทบาทผู้ดูแลระบบโดยอัตโนมัติ ผู้ดูแลระบบสามารถจัดการและอัปเดตเกตเวย์ สร้างการเชื่อมต่อกับแหล่งข้อมูล จัดการการเข้าถึงการเชื่อมต่อทั้งหมด และจัดการผู้ใช้รายอื่นบนเกตเวย์ได้
- ผู้สร้างการเชื่อมต่อ: คุณสามารถสร้างและทดสอบการเชื่อมต่อบนเกตเวย์ได้ แต่คุณไม่สามารถจัดการหรืออัปเดต หรือเพิ่มหรือลบผู้ใช้รายอื่นได้
- ผู้สร้างการเชื่อมต่อพร้อมการแชร์: คุณมีสิทธิ์เหมือนกับผู้สร้างการเชื่อมต่อ และคุณยังสามารถแชร์เกตเวย์กับผู้ใช้รายอื่นได้
สำหรับการเชื่อมต่อที่คุณสร้างสำหรับ Power Apps และ Power Automate คุณสามารถจำกัดประเภทการเชื่อมต่อที่ผู้ใช้สามารถใช้ได้เมื่อคุณกำหนดบทบาท ใช้การควบคุมเครือข่ายมาตรฐานบนเซิร์ฟเวอร์เกตเวย์เพื่อจำกัดแหล่งข้อมูลที่เกตเวย์สามารถเข้าถึงได้ เกตเวย์คลัสเตอร์สามารถทำให้มีความน่าเชื่อถือและรวดเร็วยิ่งขึ้นเพื่อตอบสนองความต้องการทางธุรกิจที่สำคัญ ใช้คลัสเตอร์ที่แตกต่างกันเพื่อวัตถุประสงค์ที่แตกต่างกัน เช่น การสนับสนุนวงจรชีวิตแอปพลิเคชัน การแบ่งองค์กรของคุณ หรือการแยกบริการ แนวทางนี้ช่วยให้คุณปฏิบัติตามข้อกำหนดด้านการปฏิบัติตามกฎระเบียบหรือความปลอดภัยที่แตกต่างกันสำหรับแหล่งข้อมูลที่แตกต่างกัน
ด้วยเกตเวย์ข้อมูลเครือข่ายเสมือน Power BI และ Power Platform โฟลว์ข้อมูลสามารถเชื่อมต่อกับบริการข้อมูลใน Azure Virtual Network ได้โดยไม่ต้องใช้เกตเวย์ข้อมูลภายในองค์กรบนเครื่องเสมือนภายในเครือข่ายเสมือน ค้นหา บริการข้อมูลที่รองรับสำหรับ Power BI ชุดข้อมูล และ แหล่งข้อมูลที่รองรับสำหรับ Power Platform การไหลของข้อมูล
Azure ExpressRoute นำเสนอวิธีขั้นสูงในการเชื่อมต่อเครือข่ายภายในองค์กรของคุณกับบริการคลาวด์ของ Microsoft โดยใช้การเชื่อมต่อแบบส่วนตัว คุณสามารถใช้การเชื่อมต่อ ExpressRoute หนึ่งรายการเพื่อเข้าถึงบริการออนไลน์หลายรายการ เช่น Power Platform, Dynamics 365, Microsoft 365 และ Azure โดยไม่ต้องผ่านอินเทอร์เน็ตสาธารณะ ExpressRoute ต้องมีการวางแผนและกำหนดค่าอย่างรอบคอบ และมีค่าใช้จ่ายเพิ่มเติมสำหรับบริการ ExpressRoute และผู้ให้บริการการเชื่อมต่อ
จัดการการเข้าถึงข้อมูลลูกค้าของ Microsoft ด้วย Customer Lockbox
Customer Lockbox ช่วยให้คุณสามารถมอบการเข้าถึงสภาพแวดล้อมของคุณแบบชั่วคราวและทันเวลาสำหรับวิศวกรของ Microsoft เพื่อช่วยแก้ไขคำขอการสนับสนุนที่สำคัญ
Lockbox มีความสามารถหลักดังต่อไปนี้:
- ผู้ดูแลระบบสามารถเลือกฐานข้อมูล Microsoft Dataverse ที่ต้องได้รับการปกป้องด้วยกล่องล็อคได้
- ในโอกาสอันหายากที่ Microsoft จำเป็นต้องเข้าถึงข้อมูลในฐานข้อมูลที่ได้รับการปกป้องด้วยกล่องล็อคเป็นการชั่วคราวเพื่อแก้ไขปัญหาสำคัญ ผู้ดูแลระบบจะได้รับการแจ้งเตือนและสามารถไปที่ศูนย์ผู้ดูแลระบบ Power Platform เพื่ออนุมัติหรือปฏิเสธคำขอได้
เมื่อได้รับอนุญาตให้เข้าถึง Microsoft แล้ว การดำเนินการใดๆ ที่เกิดขึ้นในฐานข้อมูลที่ได้รับการปกป้องด้วยกล่องล็อคในช่วงระยะเวลาการเข้าถึงชั่วคราวจะถูกบันทึกและให้องค์กรของคุณเข้าถึงได้ในรูปแบบบันทึกการตรวจสอบ SQL คุณสามารถส่งออกบันทึกเหล่านี้ไปยัง Azure Data Lake เพื่อวิเคราะห์เพิ่มเติมได้
ควบคุมว่าแอปใดที่ได้รับอนุญาตในสภาพแวดล้อมของคุณ
ป้องกันการลักลอบถ่ายโอนข้อมูลโดยการควบคุมว่าแอปใดสามารถทำงานในสภาพแวดล้อม Dataverse ของคุณ การป้องกันเหล่านี้ป้องกันการลบข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ช่วยให้ธุรกิจของคุณรักษาความต่อเนื่องและปฏิบัติตามกฎระเบียบ เรียนรู้เพิ่มเติมเกี่ยวกับ การควบคุมการเข้าถึงแอป
ปกป้องข้อมูลที่ละเอียดอ่อนด้วยการปกปิดข้อมูล
สำหรับสถานการณ์ที่ใช้ข้อมูลระบุตัวตนส่วนบุคคล (PII) เช่น หมายเลขบัตรเครดิตหรือหมายเลขประกันสังคม ให้สร้าง กฎการปกปิดข้อมูล เพื่อปกป้องข้อมูลที่ละเอียดอ่อนขององค์กรและลูกค้าของคุณ การปกปิดข้อมูล ซึ่งเรียกอีกอย่างว่า การระบุตัวตนไม่ได้ หรือ การบดบังข้อมูล จะทำให้ข้อมูลละเอียดอ่อนถูกแทนที่ด้วยสตริงที่ถูกปกปิด เพื่อซ่อนค่าดั้งเดิมที่ยังคงซ่อนอยู่ เฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ไม่ได้ปกปิดได้ครั้งละหนึ่งรายการ เพื่อให้แน่ใจว่าข้อมูลได้รับการจัดการด้วยความละเอียดอ่อนสูงสุด ปกป้องข้อมูลของคุณด้วยการใช้กฎที่มีอยู่และกำหนดไว้ล่วงหน้าหรือสร้างกฎของคุณเองเป็นโซลูชัน
ใช้ Microsoft Purview เพื่อการค้นพบและการจำแนกข้อมูล
การบูรณาการของ Microsoft Purview เข้ากับ Microsoft Dataverse ช่วยให้มีความสามารถด้านความปลอดภัยที่ทรงพลัง ด้วย Microsoft Purview Data Map คุณจะได้รับประโยชน์จากการค้นพบข้อมูลอัตโนมัติและการจำแนกข้อมูลที่ละเอียดอ่อน ได้รับความเข้าใจที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับทรัพย์สินข้อมูลของแอปพลิเคชันทางธุรกิจของคุณ ปกป้องข้อมูลของคุณ และปรับปรุงระดับความเสี่ยงและการปฏิบัติตามข้อกำหนดของคุณ
ด้วย Microsoft Purview คุณสามารถสร้างมุมมองอัปเดตของแหล่งข้อมูลทั้งหมดของคุณ รวมถึงข้อมูลในสภาพแวดล้อม Power Platform Dataverse ของคุณด้วย Microsoft Purview จัดเรียงสินทรัพย์ข้อมูลของคุณตามหมวดหมู่ในตัวหรือแบบกำหนดเอง เพื่อช่วยให้คุณเข้าใจว่าผู้สร้างของคุณมีข้อมูลอะไรอยู่ใน Dataverse สภาพแวดล้อมของพวกเขา ตัวอย่างเช่น Microsoft Purview จะแจ้งให้คุณทราบว่าผู้ผลิตได้เพิ่มข้อมูลที่ละเอียดอ่อน เช่น รหัสประจำตัวรัฐบาลหรือหมายเลขบัตรเครดิตหรือไม่ จากนั้นคุณสามารถบอกผู้สร้างว่าจะต้องเปลี่ยนแปลงข้อมูลอย่างไรเพื่อให้เป็นไปตามนโยบายของคุณหรือใช้การป้องกันเพื่อรักษาความปลอดภัยข้อมูล
การรักษาความปลอดภัย Dataverse
คุณลักษณะที่สำคัญประการหนึ่งของ Dataverse คือรูปแบบความปลอดภัยที่ยืดหยุ่น ซึ่งคุณสามารถนำไปปรับใช้กับความต้องการทางธุรกิจต่างๆ ได้ โมเดลความปลอดภัยจะพร้อมใช้งานเฉพาะเมื่อคุณมีฐานข้อมูลในสภาพแวดล้อมของคุณเท่านั้น Dataverse Dataverse ในฐานะผู้เชี่ยวชาญด้านความปลอดภัย คุณอาจสร้างแบบจำลองความปลอดภัยทั้งหมดด้วยตัวเอง แต่คุณอาจต้องตรวจสอบว่าแบบจำลองดังกล่าวตรงตามข้อกำหนดด้านความปลอดภัยข้อมูลขององค์กรหรือไม่
Dataverse ใช้ บทบาทความปลอดภัย เพื่อจัดกลุ่มสิทธิ์ คุณสามารถกำหนดบทบาทเหล่านี้ให้กับผู้ใช้หรือให้กับทีมและหน่วยธุรกิจได้ Dataverse ผู้ใช้ที่อยู่ในทีมหรือหน่วยธุรกิจจะสืบทอดบทบาทของกลุ่มนั้น แนวคิดหลักของความปลอดภัยคือสิทธิพิเศษเป็นแบบสะสมและแบบบวกกัน Dataverse หากคุณให้สิทธิ์การเข้าถึงข้อมูลบางส่วนอย่างกว้างๆ คุณจะไม่สามารถจำกัดการเข้าถึงเฉพาะส่วนที่เจาะจงได้ในภายหลัง Dataverse ทีมสามารถเชื่อมโยงกับ Microsoft Entra กลุ่มความปลอดภัย ID หรือ Microsoft 365 กลุ่มได้ เมื่อจัดตั้งสมาคมแล้ว ระบบจะจัดการสมาชิกของทีมโดยอัตโนมัติ Dataverse เมื่อผู้ใช้ใช้งานแอปที่ต้องอาศัยความปลอดภัยนี้เป็นครั้งแรก ระบบจะเพิ่มผู้ใช้ลงในทีม Dataverse
Dataverse บทบาทการรักษาความปลอดภัยสามารถทำหน้าที่เสมือนว่าได้รับการกำหนดให้กับผู้ใช้โดยตรง การตั้งค่านี้จะให้สิทธิพิเศษแก่ผู้ใช้ในระดับผู้ใช้ผ่านการเป็นสมาชิกในทีม Dataverse เพื่อให้การตั้งค่าง่ายขึ้น ให้แชร์แอปแคนวาสกับกลุ่มความปลอดภัย Microsoft Entra ID และเลือก Dataverse บทบาทความปลอดภัยที่จำเป็นในการใช้แอป ระบบจะสร้างทีมให้กับคุณและเชื่อมโยงเข้ากับกลุ่มความปลอดภัย Dataverse ID Microsoft Entra ทีมใหม่ยังได้รับ Dataverse บทบาทด้านความปลอดภัยที่คุณเลือกอีกด้วย แนวทางนี้ทำให้ประสบการณ์การดูแลระบบง่ายขึ้นและช่วยให้คุณจัดการความปลอดภัยของผู้ใช้ด้วยงานที่ต้องทำด้วยตนเองน้อยลง
Dataverse ความปลอดภัยมีความซับซ้อนและต้องอาศัยความร่วมมือระหว่างผู้สร้างแอปพลิเคชัน ทีมงานด้านความปลอดภัย และทีมผู้ดูแลระบบผู้ใช้ คุณควรวางแผนและแจ้งการเปลี่ยนแปลงสำคัญใดๆ ก่อนที่จะนำไปใช้กับสภาพแวดล้อมของคุณ
เรียนรู้เพิ่มเติมเกี่ยวกับแนวคิดด้านความปลอดภัยใน Dataverse
ความเป็นส่วนตัว
ข้อมูลของคุณคือธุรกิจของคุณ และคุณสามารถเข้าถึง แก้ไข หรือลบข้อมูลได้ตลอดเวลา Microsoft จะไม่ใช้ข้อมูลของคุณโดยไม่ได้รับความยินยอมจากคุณ ด้วยความยินยอมของคุณ เราจะใช้ข้อมูลของคุณเพื่อให้บริการที่คุณเลือกเท่านั้น เราประมวลผลข้อมูลของคุณตามข้อตกลงของคุณและสอดคล้องกับนโยบายและขั้นตอนที่เข้มงวดของเรา เราจะไม่แบ่งปันข้อมูลของคุณกับบริการที่ได้รับการสนับสนุนจากผู้โฆษณา และเราจะไม่ใช้ข้อมูลดังกล่าวเพื่อวัตถุประสงค์ใดๆ เช่น การวิจัยการตลาดหรือการโฆษณา เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ Microsoft จัดหมวดหมู่ข้อมูลในการจัดส่งบริการออนไลน์
เราเชื่อว่าคุณควรควบคุมข้อมูลของคุณได้ เรียนรู้วิธีที่เรา จัดการกับคำขอข้อมูลจากรัฐบาลและหน่วยงานบังคับใช้กฎหมาย
ในฐานะลูกค้า คุณจะต้องรับผิดชอบในการจำแนกประเภทข้อมูล การจัดการข้อมูลประจำตัว และการกำหนดบทบาทด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูล
เรียนรู้เพิ่มเติม: ความเป็นส่วนตัวของ Microsoft
บทสรุป
สรุปแล้ว การสร้างหลักประกันการปกป้องข้อมูลที่แข็งแกร่งภายใน Power Platform ถือเป็นความรับผิดชอบร่วมกันระหว่างลูกค้าและ Microsoft เกี่ยวข้องกับการประเมินคุณลักษณะด้านความปลอดภัยที่มีอยู่ทั้งหมดอย่างละเอียดถี่ถ้วน และการเลือกการกำหนดค่าที่สอดคล้องกับนโยบายความปลอดภัยและข้อกำหนดการปฏิบัติตามขององค์กรของคุณ การประเมินความต้องการเฉพาะและความเสี่ยงที่เกี่ยวข้องกับสภาพแวดล้อมของคุณ ช่วยให้คุณสามารถใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลที่ละเอียดอ่อน ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และรักษาการปฏิบัติตามข้อบังคับ จำเป็นต้องมีการตรวจสอบและอัปเดตการกำหนดค่าความปลอดภัยเป็นประจำเพื่อปรับให้เข้ากับภัยคุกคามที่เปลี่ยนแปลงไปและความต้องการทางธุรกิจที่เปลี่ยนแปลงไป
ขั้นตอนถัดไป
อ่านบทความโดยละเอียดในชุดนี้เพื่อเสริมสร้างมาตรการรักษาความปลอดภัยของคุณให้ดียิ่งขึ้น:
- ตรวจจับภัยคุกคามต่อองค์กรของคุณ
- ใช้กลยุทธ์นโยบายข้อมูล
- กำหนดค่าการจัดการข้อมูลประจำตัวและการเข้าถึง
- ตอบสนองความต้องการด้านการปฏิบัติตาม
- รักษาความปลอดภัยของสภาพแวดล้อมเริ่มต้น
หลังจากตรวจสอบบทความแล้ว ให้ตรวจสอบรายการตรวจสอบความปลอดภัยเพื่อให้แน่ใจว่าการปรับใช้มีความแข็งแกร่ง ยืดหยุ่น และสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุด Power Platform