หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
พนักงานทุกคนในองค์กรของคุณมีสิทธิ์เข้าถึง สภาพแวดล้อมเริ่มต้น Power Platform ในฐานะผู้ดูแลระบบ Power Platform คุณต้องพิจารณาวิธีรักษาความปลอดภัยของสภาพแวดล้อมนั้นในขณะที่เข้าถึงได้สำหรับการใช้งานส่วนตัวของผู้ผลิต
มอบหมายบทบาทผู้ดูแลอย่างรอบคอบ
พิจารณาว่าผู้ดูแลระบบของคุณจำเป็นต้องมี Power Platform บทบาทผู้ดูแลระบบหรือไม่ บทบาทของผู้ดูแลระบบสภาพแวดล้อมหรือผู้ดูแลระบบเหมาะสมกว่าหรือไม่ จำกัดบทบาทผู้ดูแลระบบ Power Platform ที่ทรงพลังยิ่งขึ้นให้เหลือเพียงผู้ใช้ไม่กี่คนเท่านั้น เรียนรู้เพิ่มเติมเกี่ยวกับ การบริหารจัดการ Power Platform สภาพแวดล้อม
หลีกเลี่ยงการเข้าถึงแบบถาวรหรือแบบคงที่โดยใช้คุณลักษณะแบบทันเวลา (JIT) ของผู้ให้บริการข้อมูลประจำตัวของคุณ สำหรับสถานการณ์ฉุกเฉิน ให้ปฏิบัติตามขั้นตอนการเข้าถึงฉุกเฉิน ใช้ Privileged Identity Management (PIM) ซึ่งเป็นคุณลักษณะของ Microsoft Entra ID เพื่อจัดการ ควบคุม และตรวจสอบการใช้งานบทบาทที่มีสิทธิ์พิเศษสูงเหล่านี้
ตรวจสอบ กำหนดค่าการจัดการข้อมูลประจำตัวและการเข้าถึง เพื่อดูคำแนะนำเพิ่มเติม
สื่อสารจุดประสงค์
หนึ่งในความท้าทายหลักของทีมศูนย์ความเป็นเลิศ (CoE) Power Platform คือสื่อสารการใช้งานที่ตั้งใจไว้ของสภาพแวดล้อมเริ่มต้น ที่นี่คือคำแนะนำบางส่วน
เปลี่ยนชื่อสภาพแวดล้อมค่าเริ่มต้น
สภาพแวดล้อมเริ่มต้นถูกสร้างด้วยชื่อ TenantName (ค่าเริ่มต้น) เพื่อระบุเจตนาของสภาพแวดล้อมให้ชัดเจน ให้เปลี่ยนชื่อ เป็นชื่อที่อธิบายได้ชัดเจนยิ่งขึ้น เช่น สภาพแวดล้อมการผลิตส่วนบุคคล
กำหนดค่าเนื้อหาต้อนรับผู้สร้าง
กำหนดค่า ข้อความต้อนรับที่กำหนดเอง เพื่อช่วยให้ผู้สร้างเริ่มต้นใช้งาน Power Apps และ Copilot Studioได้ ข้อความต้อนรับจะแทนที่ประสบการณ์ความช่วยเหลือครั้งแรกแบบเริ่มต้นสำหรับผู้สร้าง Power Apps ใช้โอกาสนี้เพื่อแบ่งปันเจตนาของสภาพแวดล้อมเริ่มต้นกับผู้สร้างทั้งหมดทันทีที่พวกเขาเข้าสู่สภาพแวดล้อมเริ่มต้น
ใช้ฮับ Power Platform
ฮับ Microsoft Power Platform คือเทมเพลตไซต์การสื่อสาร SharePoint ซึ่งเป็นจุดเริ่มต้นสำหรับแหล่งข้อมูลกลางสำหรับผู้สร้างเกี่ยวกับการใช้งานของ Power Platform ขององค์กรของคุณ เนื้อหาเริ่มต้นและเทมเพลตหน้าทำให้ง่ายต่อการเสนอข้อมูลผู้สร้าง เช่น:
- กรณีการใช้งานการเพิ่มประสิทธิภาพส่วนบุคคล
- ข้อมูลเกี่ยวกับ:
- สร้างแอปและโฟลว์อย่างไร
- สร้างแอปและโฟลว์ที่ไหน
- ติดต่อทีมสนับสนุน CoE ได้อย่างไร
- กฎเกี่ยวกับการรวมเข้ากับบริการภายนอก
เพิ่มลิงก์ไปยังแหล่งข้อมูลภายในอื่นๆ ที่ผู้สร้างของคุณอาจเห็นว่ามีประโยชน์
เปิดใช้งานสภาพแวดล้อมที่มีการจัดการ
รักษาความปลอดภัยและการกำกับดูแลที่แข็งแกร่งด้วยการใช้คุณลักษณะสภาพแวดล้อมที่ได้รับการจัดการในสภาพแวดล้อมเริ่มต้น คุณลักษณะสภาพแวดล้อมที่ได้รับการจัดการให้ความสามารถขั้นสูง เช่น การตรวจสอบ การปฏิบัติตาม และการควบคุมความปลอดภัย ซึ่งมีความสำคัญต่อการปกป้องข้อมูลของคุณ ด้วยการเปิดใช้งานคุณลักษณะนี้ คุณสามารถกําหนดค่า ขีดจํากัดการแชร์ รับ ข้อมูลเชิงลึกในการใช้งานเพิ่มเติม จํากัดการเข้าถึงข้อมูล Microsoft Dataverse ของผู้ใช้ จากตําแหน่งที่ตั้ง IP ที่ได้รับอนุญาตเท่านั้น และใช้ หน้าการดําเนินการ เพื่อรับคําแนะนําส่วนบุคคลเพื่อปรับสภาพแวดล้อมให้เหมาะสม ประเมินคุณลักษณะของสภาพแวดล้อมที่ได้รับการจัดการในปัจจุบันและคอยอัปเดตแผนงานของผลิตภัณฑ์เพื่อรักษาสภาพแวดล้อมเริ่มต้นที่ปลอดภัย เป็นไปตามข้อกำหนด และมีการควบคุมอย่างดี
ป้องกันการแบ่งปันมากเกินไป
Power Platform ได้รับการออกแบบมาให้เป็นแพลตฟอร์ม low-code ที่ช่วยให้ผู้ใช้สามารถสร้างแอปและโฟลว์ได้อย่างรวดเร็ว อย่างไรก็ตาม ความสะดวกในการใช้งานดังกล่าวอาจนำไปสู่การแชร์แอปและโฟลว์มากเกินไป ซึ่งอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยได้
กำหนดค่าขีดจำกัดการแชร์
เพื่อเพิ่มความปลอดภัยและป้องกันการแบ่งปันมากเกินไปภายในสภาพแวดล้อมเริ่มต้นของ Power Platform ให้จำกัดขอบเขตการที่ผู้ใช้สามารถแบ่งปันแอปแคนวาส โฟลว์ และตัวแทนได้ พิจารณาการกำหนดค่า ขีดจำกัดการแชร์ เพื่อรักษาการควบคุมการเข้าถึงที่เข้มงวดยิ่งขึ้น ข้อจำกัดดังกล่าวจะช่วยลดความเสี่ยงของการใช้งานที่ไม่ได้รับอนุญาต การแบ่งปันข้อมูลมากเกินไป และการใช้งานมากเกินไปโดยขาดการควบคุมการกำกับดูแลที่จำเป็น การนำข้อจำกัดในการแบ่งปันมาใช้จะช่วยปกป้องข้อมูลที่สำคัญในขณะที่ส่งเสริมกรอบการทำงานการแบ่งปันที่ปลอดภัยและจัดการได้มากขึ้นภายใน Power Platform
จำกัดการแบ่งปันกับทุกคน
ผู้สร้างสามารถ แชร์แอปของตน กับผู้ใช้รายบุคคลและกลุ่มความปลอดภัยอื่นๆ ได้ ตามค่าเริ่มต้น การแชร์กับทั้งองค์กรของคุณหรือ ทุกคน จะถูกปิดใช้งาน พิจารณาใช้กระบวนการปิดรอบแอปที่ใช้กันอย่างแพร่หลายเพื่อบังคับใช้นโยบายและข้อกำหนด ตัวอย่าง
- นโยบายการตรวจสอบความปลอดภัย
- นโยบายการตรวจสอบธุรกิจ
- ข้อกำหนดการจัดการวงจรชีวิตแอปพลิเคชัน (ALM)
- ข้อกำหนดด้านประสบการณ์ผู้ใช้และการสร้างแบรนด์
คุณลักษณะ แชร์กับทุกคน ถูกปิดใช้งานโดยค่าเริ่มต้นใน Power Platform เราขอแนะนำให้คุณปิดใช้งานการตั้งค่านี้ไว้เพื่อจำกัดการเปิดรับมากเกินไปของแอปพื้นที่ทำงานกับผู้ใช้ที่ไม่ได้ตั้งใจไว้ กลุ่ม ทุกคน สำหรับองค์กรของคุณประกอบด้วยผู้ใช้ทั้งหมดที่เคยเข้าสู่ระบบผู้เช่าของคุณ ซึ่งรวมถึงแขกและสมาชิกภายใน ไม่เพียงแต่รวมถึงพนักงานภายในผู้เช่าของคุณเท่านั้น นอกจากนี้ การเป็นสมาชิกของกลุ่ม ทุกคน จะไม่สามารถแก้ไขหรือดูได้ เรียนรู้เพิ่มเติมเกี่ยวกับ กลุ่มเอกลักษณ์พิเศษ
หากคุณต้องการแชร์กับพนักงานภายในทั้งหมดหรือกลุ่มคนจำนวนมาก โปรดพิจารณาใช้กลุ่มความปลอดภัยที่มีอยู่หรือสร้างกลุ่มความปลอดภัยเพื่อแชร์แอปของคุณ
เมื่อปิด แชร์กับทุกคน มีเฉพาะผู้ดูแลระบบ Dynamics 365, ผู้ดูแลระบบ Power Platform และผู้ดูแลระบบส่วนกลางของ Dynamics 365 เท่านั้นที่สามารถแชร์แอปพลิเคชันกับทุกคนในสภาพแวดล้อมได้ หากคุณเป็นผู้ดูแลระบบ คุณสามารถเรียกใช้คำสั่ง PowerShell ต่อไปนี้เพื่ออนุญาตการแชร์กับ ทุกคน:
ขั้นแรก ให้เปิด PowerShell ในฐานะผู้ดูแลระบบ และเข้าสู่ระบบบัญชีของคุณโดยเรียกใช้คำสั่งนี้: Power Apps
Add-PowerAppsAccountเรียกใช้ Get-TenantSettings cmdlet เพื่อรับรายการของการตั้งค่าผู้เช่าขององค์กรของคุณเป็นออบเจ็กต์
ออบเจ็กต์
powerPlatform.PowerAppsมีสามสถานะ:
เรียกใช้คำสั่ง PowerShell ต่อไปนี้เพื่อรับวัตถุการตั้งค่าและตั้งค่าตัวแปร
disableShareWithEveryoneเป็น$false:$settings=Get-TenantSettings $settings.powerPlatform.powerApps.disableShareWithEveryone=$falseเรียกใช้
Set-TenantSettingscmdlet ด้วยออบเจ็กต์การตั้งค่าเพื่ออนุญาตให้ผู้สร้างแชร์แอปของตนกับทุกคนในผู้เช่าSet-TenantSettings $settingsหากต้องการปิดใช้งานการแชร์กับ ทุกคน ให้ทำตามขั้นตอนเดียวกัน แต่ตั้งค่า
$settings.powerPlatform.powerApps.disableShareWithEveryone = $true
สร้างนโยบายข้อมูล
อีกวิธีในการรักษาความปลอดภัยสภาพแวดล้อมเริ่มต้นคือ การสร้างนโยบายข้อมูล สําหรับสภาพแวดล้อมดังกล่าว การมีนโยบายข้อมูลในสถานที่เป็นสิ่งสําคัญอย่างยิ่งสําหรับสภาพแวดล้อมเริ่มต้นเนื่องจากพนักงานทั้งหมดในองค์กรของคุณมีสิทธิ์เข้าถึงได้ ต่อไปนี้คือคำแนะนำบางส่วนที่จะช่วยคุณในการบังคับใช้นโยบาย
กําหนดข้อความการกํากับดูแลนโยบายข้อมูล
กําหนดข้อความแสดงข้อผิดพลาดที่จะแสดงขึ้นถ้าผู้สร้างสร้างสร้างแอปที่ละเมิดนโยบายข้อมูลขององค์กรของคุณ นำผู้สร้างไปที่ฮับ Power Platform ขององค์กรและระบุที่อยู่อีเมลของทีม CoE
เมื่อทีม CoE ปรับปรุงนโยบายข้อมูลเมื่อเวลาผ่านไป คุณอาจทำให้แอปบางแอปใช้งานไม่ได้โดยไม่ได้ตั้งใจ ตรวจสอบให้แน่ใจว่าข้อความการละเมิดนโยบายข้อมูลมีรายละเอียดการติดต่อหรือลิงก์ไปยังข้อมูลเพิ่มเติมเพื่อเสนอวิธีการไปข้างหน้าสําหรับผู้สร้าง
ใช้ PowerShell cmdlets ต่อไปนี้เพื่อปรับแต่ง ข้อความนโยบายการกำกับดูแล:
| Command | รายละเอียด |
|---|---|
| ตั้งค่า-PowerAppDlpErrorSettings | ตั้งค่าข้อความนโยบายการกำกับดูแล |
| ตั้งค่า-PowerAppDlpErrorSettings | อัปเดตข้อความนโยบายการกำกับดูแล |
บล็อกตัวเชื่อมต่อใหม่ในสภาพแวดล้อมเริ่มต้น
ตามค่าเริ่มต้น ตัวเชื่อมต่อใหม่ทั้งหมดจะถูกวางในกลุ่มที่ไม่ใช่ทางธุรกิจของนโยบายข้อมูลของคุณ คุณสามารถ เปลี่ยนกลุ่มเริ่มต้น เป็นธุรกิจหรือถูกบล็อกได้ตลอดเวลา สําหรับนโยบายข้อมูลที่นําไปใช้กับสภาพแวดล้อมเริ่มต้น เราขอแนะนําให้คุณกําหนดค่ากลุ่มบล็อกเป็นค่าเริ่มต้นเพื่อให้แน่ใจว่าตัวเชื่อมต่อใหม่ยังคงไม่สามารถใช้งานได้จนกว่าจะได้รับการตรวจสอบโดยผู้ดูแลระบบคนใดคนหนึ่งของคุณ
จำกัดผู้สร้างให้ตัวเชื่อมต่อที่สร้างไว้ล่วงหน้า
จำกัดผู้ผลิตให้ใช้เฉพาะตัวเชื่อมต่อพื้นฐานที่ไม่สามารถบล็อกได้เพื่อบล็อกการเข้าถึงตัวเชื่อมต่ออื่นๆ
- ย้ายตัวเชื่อมต่อทั้งหมดที่ไม่สามารถบล็อกได้ไปยังกลุ่มข้อมูลธุรกิจ
- ย้ายตัวเชื่อมต่อทั้งหมดที่สามารถบล็อกไปยังกลุ่มข้อมูลที่ถูกบล็อก
กำจัดตัวเชื่อมต่อที่กำหนดเอง
ตัวเชื่อมต่อแบบกำหนดเองรวมแอปหรือโฟลว์เข้ากับบริการที่ทำเองได้ บริการเหล่านี้มีไว้สำหรับผู้ใช้งานด้านเทคนิค เช่น นักพัฒนา เป็นความคิดที่ดีที่จะลดร่องรอยของ API ที่สร้างโดยองค์กรของคุณที่สามารถเรียกใช้จากแอปหรือโฟลว์ในสภาพแวดล้อมเริ่มต้น เพื่อป้องกันไม่ให้ผู้สร้างสร้างและใช้ตัวเชื่อมต่อที่กำหนดเองสำหรับ API ในสภาพแวดล้อมเริ่มต้น ให้สร้างกฎเพื่อบล็อกรูปแบบ URL ทั้งหมด
ในการอนุญาตให้ผู้สร้างเข้าถึง API บางอย่าง (เช่น บริการที่ส่งคืนรายการวันหยุดของบริษัท) ให้กำหนดค่ากฎหลายข้อที่จำแนกรูปแบบ URL ต่างๆ ลงในกลุ่มข้อมูลธุรกิจและที่ไม่ใช่ธุรกิจ ตรวจสอบให้แน่ใจว่าการเชื่อมต่อใช้โปรโตคอล HTTPS เสมอ เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายข้อมูลสําหรับตัวเชื่อมต่อแบบกําหนดเอง
รักษาความปลอดภัยการรวมกับ Exchange
ตัวเชื่อมต่อ Office 365 Outlook เป็นหนึ่งในตัวเชื่อมต่อมาตรฐานที่ ไม่สามารถบล็อกได้ ช่วยให้ผู้สร้างสามารถส่ง ลบ และตอบกลับข้อความอีเมลในกล่องจดหมายที่พวกเขาสามารถเข้าถึงได้ ความเสี่ยงของตัวเชื่อมต่อนี้ยังเป็นหนึ่งในความสามารถที่ทรงพลังที่สุด ความสามารถในการส่งอีเมล ตัวอย่างเช่น ผู้สร้างอาจสร้างโฟลว์ที่ส่งอีเมล์
ผู้ดูแลระบบ Exchange ขององค์กรของคุณสามารถตั้งค่ากฎบน Exchange Server เพื่อป้องกันไม่ให้ส่งอีเมลจากแอปได้ นอกจากนี้ยังสามารถตัดแยกโฟลว์หรือแอปเฉพาะออกจากกฎที่ตั้งขึ้นเพื่อบล็อกอีเมลขาออกได้ด้วย คุณสามารถรวมกฎเหล่านี้เข้ากับ "รายการที่อนุญาต" ของที่อยู่อีเมลเพื่อให้แน่ใจว่าอีเมลจากแอปและโฟลว์สามารถส่งจากกล่องจดหมายกลุ่มเล็กๆ เท่านั้น
เมื่อแอปหรือโฟลว์ส่งอีเมลโดยใช้ตัวเชื่อมต่อ Office 365 Outlook แอปหรือโฟลว์จะแทรกส่วนหัว SMTP เฉพาะในข้อความ คุณสามารถใช้วลีสงวนในส่วนหัวเพื่อระบุว่าอีเมลมาจากโฟลว์หรือแอป
ส่วนหัว SMTP ที่แทรกในอีเมลที่ส่งจากโฟลว์จะมีลักษณะคล้ายกับตัวอย่างต่อไปนี้:
x-ms-mail-application: Microsoft Power Automate;
User-Agent: azure-logic-apps/1.0 (workflow 2321aaccfeaf4d7a8fb792e29c056b03;version 08585414259577874539) microsoft-flow/1.0
x-ms-mail-operation-type: Send
x-ms-mail-environment-id: 0c5781e0-65ec-ecd7-b964-fd94b2c8e71b
รายละเอียดส่วนหัว
แอปพลิเคชันอีเมล x-ms
ตารางต่อไปนี้อธิบายค่าที่สามารถปรากฏในส่วนหัว x-ms-mail-application ขึ้นอยู่กับบริการที่ใช้
| บริการ | มูลค่า |
|---|---|
| Power Automate | Microsoft Power Automate; User-Agent: azure-logic-apps/1.0 (workflow <GUID>; เวอร์ชัน <หมายเลขเวอร์ชัน>) microsoft-flow/1.0 |
| Power Apps | Microsoft Power Apps; User-Agent: PowerApps/ (; AppName= <ชื่อแอป>) |
ประเภทการดำเนินการอีเมล x-ms
ตารางต่อไปนี้จะอธิบายค่าที่สามารถปรากฏในส่วนหัว x-ms-mail-operation-type ขึ้นอยู่กับการดำเนินการที่ดำเนินการอยู่
| มูลค่า | รายละเอียด |
|---|---|
| ตอบกลับ | สำหรับการดำเนินการตอบกลับอีเมล |
| ส่งต่อ | สำหรับการดำเนินการส่งต่ออีเมล |
| ส่ง | สำหรับการดำเนินการส่งอีเมล รวมถึง SendEmailWithOptions และ SendApprovalEmail |
รหัสสภาพแวดล้อมอีเมล x-ms
ส่วนหัว x-ms-mail-environment-id มีค่ารหัสสภาพแวดล้อม การปรากฏของส่วนหัวนี้ขึ้นอยู่กับผลิตภัณฑ์ที่คุณกำลังใช้
- ใน Power Apps มีส่วนหัวนี้เสมอ
- ใน Power Automate ส่วนหัวนี้ปรากฏเฉพาะในการเชื่อมต่อที่สร้างขึ้นหลังเดือนกรกฎาคม 2020
- ใน Logic Apps ส่วนหัวนี้จะไม่ปรากฏ
กฎ Exchange ที่เป็นไปได้สำหรับสภาพแวดล้อมเริ่มต้น
ต่อไปนี้คือการดำเนินการทางอีเมลบางอย่างที่คุณอาจต้องการบล็อกโดยใช้กฎ Exchange
บล็อกอีเมลขาออกถึงผู้รับภายนอก: บล็อกอีเมลขาออกทั้งหมดที่ส่งถึงผู้รับภายนอกจาก Power Automate และ Power Apps กฎนี้ป้องกันไม่ให้ผู้สร้างส่งอีเมลถึงคู่ค้า ผู้จัดจำหน่าน หรือลูกค้าจากแอปหรือโฟลว์ของตน
บล็อกการส่งต่อขาออก: บล็อกอีเมลขาออกทั้งหมดที่ส่งต่อไปยังผู้รับภายนอกจาก Power Automate และ Power Apps ที่ผู้ส่งไม่อยู่ในรายการกล่องจดหมายที่อนุญาต กฎนี้ป้องกันไม่ให้ผู้สร้างสร้างโฟลว์ที่ส่งต่ออีเมลขาเข้าไปยังผู้รับภายนอกโดยอัตโนมัติ
ข้อยกเว้นที่ต้องพิจารณาสำหรับกฎการบล็อกอีเมล
ต่อไปนี้เป็นข้อยกเว้นที่อาจเกิดขึ้นสำหรับกฎ Exchange เพื่อบล็อกอีเมลในการเพิ่มความยืดหยุ่น:
ยกเว้นแอปและโฟลว์เฉพาะ: เพิ่มรายการยกเว้นให้กับกฎที่แนะนำไว้ก่อนหน้านี้ เพื่อให้แอปหรือโฟลว์ที่ได้รับอนุมัติสามารถส่งอีเมลถึงผู้รับภายนอกได้
รายการอนุญาตระดับองค์กร: ในสถานการณ์นี้ เป็นเรื่องสมเหตุสมผลที่จะย้ายโซลูชันไปยังสภาพแวดล้อมเฉพาะ หากหลายโฟลว์ในสภาพแวดล้อมต้องส่งอีเมลขาออก คุณสามารถสร้างกฎข้อยกเว้นแบบครอบคลุมเพื่ออนุญาตอีเมลขาออกจากสภาพแวดล้อมนั้น สิทธิ์ของผู้สร้างและผู้ดูแลระบบในสภาพแวดล้อมนั้นต้องได้รับการควบคุมอย่างเข้มงวดและจำกัด
เรียนรู้เพิ่มเติมเกี่ยวกับ วิธีการตั้งค่ากฎการแยกข้อมูลที่เหมาะสมสำหรับ Power Platform การรับส่งข้อมูลอีเมลที่เกี่ยวข้อง
ใช้งานการแยกระหว่างผู้เช่า
Power Platform มีระบบตัวเชื่อมต่อของ Microsoft Entra ที่ช่วยให้ผู้ใช้ Microsoft Entra ที่ได้รับอนุญาตสามารถเชื่อมต่อแอปและโฟลว์ไปยังที่เก็บข้อมูลได้ การแยกผู้เช่าควบคุมการเคลื่อนไหวของข้อมูลจากแหล่งข้อมูล Microsoft Entra ที่ได้รับอนุญาตเข้าและออกจากผู้เช่าได้อย่างมีประสิทธิภาพ
การแยกผู้เช่าจะใช้ในระดับผู้เช่าและส่งผลกระทบต่อสภาพแวดล้อมทั้งหมดในผู้เช่า รวมถึงสภาพแวดล้อมเริ่มต้น เนื่องจากพนักงานทุกคนเป็นผู้สร้างในสภาพแวดล้อมเริ่มต้น การกำหนดค่านโยบายการแยกผู้เช่าที่มีประสิทธิภาพจึงมีความสำคัญต่อการรักษาความปลอดภัยของสภาพแวดล้อม เราขอแนะนำให้คุณกำหนดค่าผู้เช่าที่พนักงานของคุณสามารถเชื่อมต่อได้อย่างชัดเจน ผู้เช่ารายอื่นทั้งหมดควรได้รับการคุ้มครองโดยกฎเริ่มต้นที่บล็อกการรับส่งข้อมูลทั้งขาเข้าและขาออก
Power Platform การแยกผู้เช่าแตกต่างจากข้อจำกัดผู้เช่าทั่วทั้ง ID Microsoft Entra ไม่ส่งผลต่อ Microsoft Entra การเข้าถึงตาม ID จากภายนอก Power Platform ใช้ได้เฉพาะกับตัวเชื่อมต่อที่ใช้การตรวจสอบสิทธิ์ตาม ID เช่น ตัวเชื่อมต่อ Microsoft Entra Outlook และ Office 365 SharePoint
เรียนรู้เพิ่มเติม:
- ข้อจำกัดการเข้าถึงขาเข้าและขาออกของผู้เช่าข้ามกลุ่ม
- Get-PowerAppTenantIsolationPolicy (Microsoft.PowerApps.Administration.PowerShell)
ขั้นตอนถัดไป
อ่านบทความโดยละเอียดในชุดนี้เพื่อเสริมสร้างมาตรการรักษาความปลอดภัยของคุณให้ดียิ่งขึ้น:
- ตรวจจับภัยคุกคามต่อองค์กรของคุณ
- จัดทำมาตรการป้องกันข้อมูลและความเป็นส่วนตัว
- ใช้กลยุทธ์นโยบายข้อมูล
- กำหนดค่าการจัดการข้อมูลประจำตัวและการเข้าถึง
- ตอบสนองความต้องการด้านการปฏิบัติตาม
หลังจากตรวจสอบบทความแล้ว ให้ตรวจสอบรายการตรวจสอบความปลอดภัยเพื่อให้แน่ใจว่าการปรับใช้มีความแข็งแกร่ง ยืดหยุ่น และสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุด Power Platform