确保只有授权用户才能访问整个租户项目中的敏感数据。
IP 防火墙
Microsoft Power Platform 中的 IP 防火墙功能是一种仅适用于使用 Dataverse 的托管环境的安全控制。 它通过控制 Power Platform 环境的入站流量,提供了一个重要的安全层。 管理员可以使用此功能来定义和强制执行基于 IP 的访问控制。 这样,他们就能确保只有授权的 IP 地址才能访问 Power Platform 环境。 通过使用 IP 防火墙,企业可以降低与未经授权的访问和数据泄露相关的风险,从而增强其 Power Platform 部署的整体安全性。 了解更多信息,请参阅 Power Platform 环境中的 IP 防火墙。
租户隔离
通过使用租户隔离,Power Platform 管理员可以控制来自 Microsoft Entra 授权数据源的租户数据进出其租户。 了解更多信息:跨租户入站和出站限制。
基于 IP 地址的 Cookie 绑定
基于 IP 地址的 cookie 绑定功能仅适用于具有 Dataverse 功能的托管环境。 它可以通过基于 IP 地址的 cookie 绑定防止 Dataverse 中的会话劫持漏洞。 了解更多信息,请参阅使用 IP cookie 绑定保护 Dataverse 会话。
环境安全组
安全组有助于控制哪些授权用户可以访问环境。 了解更多信息,请参阅使用安全组和许可证控制用户访问环境。
管理共享
管理共享功能仅适用于托管环境。 通过使用共享,管理员可以控制制作者可以共享的内容,以及他们可以与哪些其他个人用户和安全组共享。 (可能共享的内容包括画布应用程序、云端流和智能体)。该功能可确保只有授权用户才能访问敏感信息。 因此,它可以降低数据泄露和滥用的风险。 了解更多信息,请参阅限制共享。
应用程序访问控制(预览版)
应用访问控制功能仅适用于托管环境。 它通过控制每个环境中允许和阻止的应用程序来防止数据外流。 了解更多信息,请参阅控制环境中允许使用的应用程序。
来宾访问(预览版)
[此部分为预发布文档,可能会更改。]
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款的约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
为确保 Power Platform 生态系统中的数据安全性和合规性,最大限度降低过度共享的风险至关重要。 因此,所有新的 Dataverse 支持环境默认情况下都禁止访客访问。 但是,如果您的业务用例需要,您可以允许对环境进行来宾访问。 您也可以追溯关闭(限制)现有环境的访客访问。 在这种情况下,您可以阻止与来宾以前有权访问的资源的连接。
配置来宾访问权限
- 以系统管理员身份登录 Power Platform 管理中心。
- 在导航窗格中,选择安全性。
- 在安全性部分,选择身份和访问。
- 在身份和访问部分,选择访客访问。
- 在访客访问窗格中,选择要关闭访客访问的环境。
- 选择配置来宾访问。
- 打开关闭访客访问选项。
- 选择保存。 访客访问窗格将重新出现。
- 根据需要对其他环境重复步骤 5 到 8。
- 完成后,关闭访客访问窗格。
提高安全分数并根据建议采取行动
限制来宾访问是改善租户安全态势的关键方法。 您也可以在主安全页面或 Power Platform 管理中心的操作中心选择限制来宾用户访问建议,直接执行操作。 配置来宾访问限制后,根据配置的环境数量,租户的安全分数会提高。
延迟考虑因素
有效阻止访客访问所需的时间各不相同,取决于环境和环境中资源的数量。 在最极端的情况下,完全强制执行的延迟为 24 小时。
已知限制
来宾访问是一项预览功能。 已计划推出更多增强功能。 除其他外,它还有以下已知限制:
- 通过阻止来宾访问,可以阻止任何来宾保存和使用资源。 但是,可能无法阻止来宾访问 Power Apps maker portal。
- 在 Copilot Studio 中制作的项目可能会使用图连接器作为来自 Microsoft Power Platform 外部的知识源。 当前这些信息可能对访客可见,即使访客访问已被阻止。
管理员权限(预览版)
[此部分为预发布文档,可能会更改。]
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款的约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
管理员权限功能仅适用于托管环境。 通过限制在 Microsoft Entra ID 和 Microsoft Power Platform 中拥有高特权管理角色的用户数量,可以提高租户的安全分数。 可以使用此功能来查看具有这些特权角色的用户、查看用户列表,以及删除不应再具有特权访问权限的用户。 了解更多信息,请参阅 Power Platform 管理中心概述。
拥有管理权限的用户
如果租户中有许多用户拥有管理权限,管理权限窗格会主动提供建议。 可以打开建议查看很多用户具有系统管理员安全角色的环境列表。 (目前,该列表显示的是拥有该角色的用户超过 20 个的环境)。对于列表中的任何环境,选择系统管理员列中的链接可打开安全角色页面。 在这里,您可以选择系统管理员安全角色,然后选择成员,打开成员页面。 此页面显示具有角色分配的用户列表。 您可以选择要从角色中删除的用户,一次一个用户。
备注
只有分配了全局管理员角色的用户可以从全局管理员角色中删除其他用户。
已知问题
请注意该功能的以下已知问题:
- 安全角色的成员资格页面只显示默认业务单元中的安全角色。 要查看所有业务单元的所有安全角色,请关闭仅显示父安全角色选项。
- 从系统管理员角色中删除用户后,页面大约需要 24 小时显示更新的管理员计数。
代理身份验证(预览版)
[此部分为预发布文档,可能会更改。]
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款的约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
此功能允许管理员为环境中的所有代理交互配置身份验证。 管理员可以选择以下选项之一:
- “使用 Microsoft Entra ID 进行身份验证”或“手动进行身份验证” 允许您选择强制通过 Microsoft Entra ID 进行身份验证或手动进行身份验证。 这有助于防止创建或使用没有身份验证的代理。
- 无身份验证 允许匿名访问。
有关 Copilot Studio 中的身份验证选项的信息,请转到 在 Copilot Studio 中配置用户身份验证。
代理身份验证功能是现有虚拟连接器的现代化框架,无需Microsoft Entra ID 即可聊天。 它可帮助你通过环境级配置和规则进行扩展。 如果在 Power Platform 管理中心的安全区域中同时使用虚拟连接器和代理身份验证设置,则必须在两个位置允许访问,才能在运行时允许访问。 如果在任意一个位置阻止匿名访问,则在运行时将强制实施最严格的限制,并将被阻止。 例如,请考虑下表中的信息。
| 虚拟连接器中的访问 | 在 Power Platform 管理中心中的 代理身份验证设置 中访问 | 运行时强制执行 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 允许 | Blocked | Blocked |
| Blocked | 允许 | Blocked |
| 允许 | 允许 | 允许 |
建议所有客户都使用 Power Platform 管理中心中的 代理身份验证 设置来利用组和规则的功能。
代理访问点(预览版)
[此部分为预发布文档,可能会更改。]
重要提示
- 这是一项预览功能。
- 预览功能不适用于生产环境,并且可能具有受限的功能。 这些功能受补充使用条款的约束,在正式发布之前已经可用,以便客户可以及早使用并提供反馈。
此功能使管理员能够控制可以发布代理的位置,从而允许客户跨多个平台参与。 管理员可以选择多个可用的频道,例如Microsoft Teams、Direct Line、Facebook、Dynamics 365 for Customer Service、SharePoint 和 WhatsApp。
代理接入点功能是现有虚拟连接器的现代化框架。 它可帮助你通过环境级配置和规则进行缩放。 如果在 Power Platform 管理中心的安全区域中同时使用虚拟连接器和代理接入点设置,则必须在两个位置允许访问,以便在运行时允许访问。 如果您在任一位置阻止通道访问,那么在运行时将执行最严格的限制,并且通道访问将被阻止。 例如,请考虑下表中的信息。
| 在虚拟连接器中的访问 | 在 Power Platform 管理中心的 代理访问点 设置中访问 | 运行时强制执行 |
|---|---|---|
| Blocked | Blocked | Blocked |
| 允许 | Blocked | Blocked |
| Blocked | 允许 | Blocked |
| 允许 | 允许 | 允许 |
建议所有客户都使用 Power Platform 管理中心中的 代理接入点 设置来利用组和规则的功能。