通过

配置标识和访问管理

管理对敏感信息和资源的访问对于各行各业的 IT 管理员和首席信息安全官 (CISO) 至关重要。 确保最基本的特权访问对于保持强大的安全性至关重要。

Power Platform 与 Microsoft Entra ID 集成,用于标识与访问管理,赋能管理员安全管理用户及其与 Power Platform 资源的交互。 Microsoft Entra ID 是Microsoft身份验证的核心,有助于防止标识泄露。 Microsoft Entra ID 为 IT 管理员提供可见性和控制权,并提供多因素身份验证和条件访问等安全功能。 托管安全基于 Microsoft Entra ID 构建功能,使管理员能够精细控制,确保仅授权用户访问数据和资源。

本文介绍了每一层的标识和访问管理控制。

租户访问

租户级访问是安全的第一层,使用 Microsoft Entra ID。 它确保用户具有活动用户帐户,并遵守登录的任何条件访问策略。 但是,仅有一个已启用的活动帐户并不能授予对该平台的访问权限。 只有拥有相应许可证的用户才能进行身份验证并使用平台。

服务管理员角色

可以分配两个与 Power Platform 相关的服务管理员角色来提供高级管理员管理:

  • Power Platform 管理员:此角色可在 Power Platform 中执行所有管理功能,不受环境层级安全组成员资格限制。
  • Dynamics 365 管理员:此角色可在 Power Platform 中执行大部分管理功能,但仅限于其所属安全组的环境。

这些角色无法管理其他 Microsoft 365 应用的用户帐户、订阅及访问设置。 您需要与组织中的其他管理员协作来执行这些任务。 有关每个角色的权限的详细信息,请查看 服务管理员权限矩阵

管理标识会带来重大的安全风险,因为它们的任务需要对很多系统和应用程序进行特权访问。 泄露或滥用可能会损害您的业务及其信息系统。 管理安全是最重要的安全领域之一。

保护特权访问免受确定的对手的攻击需要一种完整而深思熟虑的方法,将系统与风险隔离开。 以下是一些策略:

  • 尽量减少关键影响账户的数量
  • 使用独立角色,而不是提升现有身份的权限。
  • 通过使用标识提供者的实时 (JIT) 功能,避免永久访问或长期访问。 对于“打碎玻璃”情况,请遵循紧急访问流程。 使用 Privileged Identity Management (PIM)(Microsoft Entra ID 功能)来管理、控制和监控这些高权限角色的使用。
  • 使用现代访问协议,如无密码身份验证或多因素身份验证。
  • 使用条件访问策略强制使用密钥安全属性。
  • 停用不使用的管理账户。

条件访问

条件访问是一项 Microsoft Entra ID 功能,可根据用户情境信号应用策略。 这些信号有助于评估风险等级并实施相应措施。 条件访问策略最基础的形式是“如果-那么”语句,用于定义用户访问资源的必要条件。 例如,可要求用户访问用于合规流程跟踪的 Power Apps 画布应用时必须启用多因素身份验证。

不要为所有身份提供相同级别的访问权限。 您的决策应基于两个主要因素:

  • 时间。 身份可以访问您的环境多长时间。
  • 权限。 权限的级别。

这些因素并非互斥关系。 具有更多权限和无限访问持续时间的被盗用身份能够获得对系统和数据的更多控制,或者使用该访问权限继续更改环境。 限制这些访问因素既可以作为一种预防措施,也是为了控制爆炸半径。

及时化 (JIT) 方法只在需要时才提供所需的权限。

Just Enough Access (JEA) 仅提供所需的权限。

尽管时间和特权是主要因素,但其他条件适用。 例如,您还可以使用访问源自的设备、网络和位置来设置策略。

使用可过滤、检测和阻止未经授权访问的强大控制,包括用户身份和位置、设备健康状况、工作负载上下文、数据分类和异常情况等参数。

例如,您的工作负荷可能需要由供应商、合作伙伴和客户等第三方身份访问。 他们需要适当级别的访问权限,而不是您提供给全职员工的默认权限。 明确区分外部帐户可以更容易地阻止和检测来自这些渠道的攻击。

规划如何使用策略来强制实施 Power Platform 的安全准则。 可通过策略限制特定用户或条件下的 Power Platform 访问权限,例如用户所在位置、所用设备及其安装的应用程序,以及是否启用多因素身份验证。 条件访问虽具灵活性,但这种灵活性可能导致策略产生不良后果,包括将管理员拒之门外。 规划指南可协助您系统规划条件访问的实施策略。

了解详细信息:

连续访问评估

持续访问评估是 Microsoft Entra ID 的功能,通过监测特定事件与变更来判定用户是否应保留或失去资源访问权限。 OAuth 2.0 身份验证传统上依赖于访问令牌过期来撤销用户对现代云服务的访问。 访问权限被终止的用户仍然有权访问资源,直到访问令牌到期—对于 Power Platform,默认只要一小时。 但是,通过连续访问评估,Power Platform 服务(如 Dataverse)会持续评估用户的关键事件和网络位置变化。 它们会主动终止活动用户会话,或要求重新进行身份验证,并近乎实时地强制执行租户策略更改,而不是等待访问令牌过期。

随着组织持续采用混合工作模式和云应用,Microsoft Entra ID 已成为保护用户与资源的核心安全边界。 条件访问将该外围扩展到网络边界之外,以包括用户和设备身份。 连续访问可确保随着事件或用户位置的变化,对访问进行重新评估。 通过将 Microsoft Entra ID 与 Power Platform 产品结合使用,您可在整个应用组合中实施一致的安全治理。

查阅这些标识管理最佳做法,获取更多关于如何将 Microsoft Entra ID 与 Power Platform 结合使用的技巧。

环境访问

Power Platform 环境作为逻辑容器和治理管理单元,代表着 Power Platform 中的安全边界。 从管理角度来看,虚拟网络、密码箱和安全组等很多功能都以环境级别的粒度运行。 这种粒度允许根据您的业务需要在不同的环境中实现不同的安全要求。 用户根据分配给他们的安全角色访问环境。 仅凭租户层级的许可证和身份凭证不足以授予环境访问权限,除非该环境是默认环境

支持 Dataverse 的环境可通过高级安全模型控制对 Dataverse 数据库中数据和服务的访问权限。

为环境分配安全组

使用安全组控制哪些持证用户可成为特定环境的成员。 可通过安全组控制除默认环境或开发人员环境外的 Power Platform 环境资源访问权限。 将一个安全组链接到至少具有一个用户或嵌套安全组的每个环境。 为每个环境使用安全组可确保只有正确的用户才能访问它。 如果自动执行环境创建过程,还可以自动创建安全组,确保管理员有权访问任何新环境。

Power Platform 管理员可访问所有环境,即使其未加入该环境的安全组。 Dynamics 365 管理员需要在安全组中才能访问环境。

管理访客用户

您可能需要允许来宾用户访问环境和 Power Platform 资源。 与内部用户类似,您可使用 Microsoft Entra ID 条件访问和持续访问评估机制,确保来宾用户遵循更严格的安全标准。

为进一步增强安全性并降低意外过度共享的风险,您还可根据需要阻止或启用 Microsoft Entra 来宾访问基于 Dataverse 的环境。 默认情况下,新创建的基于 Dataverse 的环境会限制来宾访问权限,确保从初始阶段建立安全环境。 也可以通过为现有环境启用此设置来进一步提高安全分数。

将制作者引导至其专属开发环境

环境路由允许 Power Platform 管理员自动将新/现有制作者引导至其个人开发人员环境(当他们登录 Power Platform 产品(如 Power Apps 或 Copilot Studio)时)。 我们建议您配置环境路由,为新制作者提供了一个安全的个人空间,让他们可以使用 Microsoft Dataverse 进行制作,而不必担心他人会访问他们的应用程序或数据。

资源访问

安全角色控制在环境中创建和运行特定应用程序及流的权限。 例如,您可以直接与用户或 Microsoft Entra ID 组共享画布应用,但 Dataverse 安全角色仍适用。 但模型驱动应用仅能通过 Dataverse 安全角色进行共享。

根据身份的要求为身份分配角色

根据每个身份的职责授权操作权限。 确保身份操作范围不超出必要权限。 设置授权规则前,请明确请求发起者身份、该角色允许执行的操作及权限范围。 这些因素将指导您结合身份、角色和作用域进行决策。

请考虑以下问题:

  • 身份是否需要对数据进行读取或写入访问? 需要什么级别的写入访问权限?
  • 如果身份被不良行为者盗用,在保密性、完整性和可用性方面会对系统产生什么影响?
  • 身份需要永久访问还是可以考虑条件访问?
  • 该身份是否执行需要管理员或提升权限的操作?
  • 工作负荷如何与第三方服务交互?

角色是分配给身份的一组权限。 应分配只允许身份完成任务的角色,不再分配其他角色。 当用户的权限仅限于其工作要求时,更容易发现系统中的可疑或未经授权的行为。

像这样问问题:

  • 身份是否需要删除资源的权限?
  • 角色是否只需要访问他们创建的记录?
  • 分层访问是否基于需要用户的业务部门?
  • 角色需要管理权限还是提升权限?
  • 角色是否需要永久访问这些权限?
  • 如果用户改变工作会发生什么情况?

限制用户的访问级别可以减少潜在的攻击面。 如果只授予执行特定任务所需的最低权限,成功攻击或未经授权访问的风险将会降低。 例如:开发人员仅需对开发环境拥有制作者访问权限,但无需生产环境权限。 他们需要创建资源、但不更改环境属性的访问权限。 他们可能需要读写 Dataverse 数据的访问权限,但无权修改 Dataverse 表的数据模型或属性。

避免以单个用户为目标的权限。 精细化和自定义权限会导致复杂情况和混淆。 当用户更改角色并跨业务移动或具有类似身份验证要求的新用户加入团队时,他们可能会变得难以维护。 这种情况可能会造成难以维护的复杂的旧配置,并对安全性和可靠性产生负面影响。

授予最少权限的角色,并根据操作或数据访问需求增加更多权限。 您的技术团队必须有明确的指导来实现权限。

建立流程来管理身份生命周期

身份的访问权限时间不能超过身份访问的资源。 确保在团队结构或软件组件发生改变时,有一个禁用或删除身份的过程。

建立标识治理过程,以管理数字标识、高特权用户、外部用户或来宾用户以及工作负荷用户的生命周期。 实施访问审查来确保当身份离开组织或团队时,其工作负荷权限被删除。

配置共享限制

随着各行各业竞先优先采用 AI,管理员正在寻求解决过度共享资源的风险。 托管安全为画布应用和解决方案感知型云端流提供精细化共享限制,防止制作者跨安全组或与特定个人共享流程。

对于 Copilot Studio 代理方案,管理员对每个环境或环境组的编辑器和查看器权限具有精细的控制。 还可将查看者限制为特定安全组、个人或固定数量的受限用户。

在 Power Platform 管理中心管理共享限制的屏幕截图。

除这些精细化共享限制外,还需限制制作者使用所有人快捷方式将应用程序共享给组织内所有成员的能力。

了解详细信息:

连接到支持托管标识的 Azure 资源

为了最大程度地降低与访问外部资源相关的风险, Dataverse 插件的托管标识支持 提供了安全无缝的身份验证。 这种支持消除了对硬编码凭据的需求,并简化了对资源的访问管理。

Dataverse 访问

Dataverse 使用丰富的 安全模型 来保护数据完整性和用户隐私,同时促进高效的数据访问和协作。 可以合并业务部门、基于角色的安全性、基于行的安全性和基于列的安全性,以定义对用户在 Power Platform 环境中拥有的信息的总体访问权限。 基于角色的访问控制 (RBAC) 支持您以可缩放的方式定义访问权限和管理数据访问。 通过使用各种内置或自定义的安全角色,可以在数据库、表或特定记录级别授予权限。

Dataverse 支持精细化访问控制,用于管理授权及数据层级安全角色。 这些角色定义行、字段、分层和组保护,提供了保护应用程序中高度敏感业务数据所需的粒度和灵活性。

Microsoft Purview 数据映射作为统一自动化解决方案,可跨不同数据源和域(包括 Dataverse)发现、分类并标记敏感数据。 使用 Purview 数据映射进行标记使组织能够自动对数据进行分类并轻松识别敏感数据。 通过集成 Purview 数据映射,您可利用预定义规则和策略匹配业务及合规需求,减少在 Dataverse 中手动标注数据的工作量和人为错误。

了解标识和访问管理要求

作为客户,您负责:

  • 账户与身份管理
  • 创建和配置条件访问策略
  • 创建并分配安全角色
  • 启用和配置审核与监视
  • Power Platform 可能连接组件的身份验证与安全性

了解您正在实施的 Power Platform 工作负荷的关键要求。 问自己以下问题,帮助确定要配置的标识和访问管理功能。

  • 如何实现访问控制和身份验证机制,以确保只有授权用户才能访问工作负荷?
  • 如何确保安全无缝的用户身份验证?
  • 如何控制哪些应用可以与生成式 AI(智能体)交互,以及哪些措施确保这些限制有效?
  • 工作负荷如何与其他内部和外部系统安全地集成?
  • 用户从哪里访问此解决方案? 例如,他们使用的是移动设备还是 Web 浏览器?
  • 您的用户是内部用户、外部用户还是两者都有?

建议

有效管理制作者、用户和访客对保障 Power Platform 环境的安全性、合规性及运营效率至关重要。 以下是管理访问和权限的详细建议:

  1. 引导制作者使用个人开发环境:通过环境路由机制,鼓励制作者使用个人开发环境构建和测试应用程序。 这种方法将开发活动与生产环境隔离开来,从而降低意外更改或中断的风险。 个人发展环境为实验和创新提供了一个安全的空间,而不会影响关键业务运营。

  2. 禁止制作者权限进入测试与生产环境:限制制作者权限在测试及生产环境中的作用,防止未经授权的变更,确保仅部署经过充分测试的批准应用程序。 这种职责分离可以帮助维护生产系统的完整性和稳定性,最大限度地降低错误和安全漏洞的风险。

  3. 采用最小权限原则的安全角色控制访问:实施基于角色的访问控制 (RBAC),依据最小权限原则分配权限。 仅向用户授予执行特定任务所需的访问权限。 通过限制权限,可以减少攻击面并最大程度地减少安全漏洞的潜在影响。

  4. 通过调用‘运行诊断’诊断用户访问问题:使用运行诊断命令排查用户访问故障。 此工具可以帮助发现和解决与权限相关的问题,确保用户具有执行任务的适当访问权限。 定期诊断还可以帮助检测和解决潜在的安全漏洞。

  5. 限制与所有人共享,并评估配置具体限制:避免授予允许所有人访问资源的广泛共享权限。 配置特定的共享限制,来控制制作者可以与多少用户共享其应用程序和数据。

  6. 将数据策略应用于默认环境和开发人员环境:将数据策略应用于默认环境和开发人员环境,以仅限制对制造商所需的连接器的访问。 此方法有助于防止未经授权的数据传输,并确保敏感信息受到保护。 定期查看和更新数据策略,以符合不断变化的安全要求。

  7. 使用 Microsoft Entra ID 组保护环境访问:使用 Microsoft Entra ID 组来管理和保护对 Power Platform 环境的访问。 通过根据用户的角色和责任对用户进行分组,您可以有效地分配和管理权限。 Microsoft Entra ID 组还能简化访问控制的更新流程,以适应组织需求的变化。

  8. 使用 Dataverse 具有内置的灵活 RBAC 安全模型:Dataverse 提供内置的灵活基于角色的访问控制安全模型,使你能够有效地管理用户权限和对数据的访问。 使用此模型可以定义自定义角色,并根据作业职能和职责分配特定权限。 确保用户只有执行其任务所需的访问权限。 凭借精细化权限、分层安全和团队访问等特性,Dataverse 的 RBAC 模型可增强数据保护能力,支持合规监管要求,并简化 Power Platform 环境中的用户访问管理。

后续步骤

查看本系列中的详细文章,以进一步增强您的安全状况:

阅读完相关文章后,请核对安全检查清单,确保 Power Platform 部署具备稳健性、弹性并符合最佳实践。

查看安全性清单

  • Last updated on