確保只有授權使用者才可以存取租用戶內專案中的敏感資料。
IP 防火牆
Microsoft Power Platform 中的 IP 防火牆功能是僅適用於包含 Dataverse 之受控環境的安全性控制項。 此功能控制流入 Power Platform 環境的輸入流量,以提供關鍵的一層安全保護。 管理員可以使用此功能來定義和實作 IP 型存取控制。 如此一來,他們可以確保只有授權的 IP 位址才能存取 Power Platform 環境。 組織可以使用 IP 防火牆,降低與未經授權存取和資料外洩相關的風險,從而增強其 Power Platform 部署的整體安全性。 如需詳細資訊,請參閱 Power Platform 環境中的 IP 防火牆。
租用戶隔離
Power Platform 管理員可以使用租用戶隔離,控管 Microsoft Entra 授權資料來源與其租用戶之間往返的租用戶資料移動。 了解更多資訊,請參閱跨租用戶入站和出站限制。
IP 位址型 Cookie 繫結
IP 位址型 Cookie 繫結功能僅適用於具有 Dataverse 的受控環境。 這可透過 IP 位址型 Cookie 繫結來防止 Dataverse 中的工作階段劫持漏洞。 如需詳細資訊,請參閱使用 IP Cookie 繫結保護 Dataverse 工作階段。
環境安全性群組
安全群組有助於控制哪些獲得授權的使用者可以存取環境。 如需進一步了解,請參閱使用安全群組和授權控制使用者對環境的存取。
管理共用
管理共用功能僅適用於受控環境。 透過使用共用,管理員可以控制其建立者可以共用的內容,以及可以與哪些其他個人使用者和安全群組共用。 (可能共用的內容範例包括畫布應用程式、雲端流程和 Agent)。此功能可確保敏感資訊僅對授權使用者可用。 因此,它降低了資料外洩和濫用的風險。 在限制分享中了解更多。
應用程式存取控制 (預覽版)
應用程式存取控制功能僅適用於受控環境。 它透過控制在每個環境中允許和禁止哪些應用程式來防止資料外洩。 了解更多資訊,請參閱控制您的環境中允許使用哪些應用程式。
來賓存取 (預覽版)
[本區段是發行前版本文件,並且隨時可能變更。]
重要
- 這是預覽功能。
- 預覽功能不供生產時使用,而且可能功能受限。 這些功能應受補充使用條款所拘束,其為在正式發行前先行推出,讓客戶能夠搶先體驗並提供意見反應。
為了確保 Power Platform 生態系統中的資料安全性和合規性,盡量減少過度共用的風險至關重要。 因此,所有 Dataverse 支援的新環境預設會禁止來賓存取。 但是,如果您的業務使用案例需要,您可以允許來賓存取環境。 您也可以追溯關閉 (限制) 現有環境的來賓存取。 在這種情況下,您會禁止來賓之前可以存取的資源的連接。
設定來賓存取
- 以系統管理員身分登入 Power Platform 系統管理中心。
- 在導覽窗格中,選擇安全性。
- 在安全性區段中,選擇身分識別與存取權。
- 在身分識別與存取權區段,選擇來賓存取。
- 在來賓存取窗格中,選擇要關閉來賓存取的環境。
- 選擇設定來賓存取。
- 開啟關閉來賓存取選項。
- 選取儲存。 來賓存取窗格再次出現。
- 根據需要對其他環境重複步驟 5 至 8。
- 完成後,關閉來賓存取窗格。
提高您的安全評分並根據建議採取行動
限制來賓存取是改善租用戶安全態勢的關鍵方法。 您也可以在主要安全性頁面或 Power Platform 系統管理中心的動作頁面上選取限制來賓使用者存取建議來採取直接動作。 設定來賓存取限制後,您的租用戶的安全分數會根據設定的環境數量提高。
延遲注意事項
有效禁止來賓存取所需的時間會有所不同,具體取決於環境的數量以及這些環境中的資源。 在最極端的情況下,全面執行的延遲時間為 24 小時。
已知限制
來賓存取是一項預覽功能。 計劃進行更多改進。 除此之外,它具有以下已知限制:
- 透過禁止來賓存取,您可以禁止任何來賓儲存和使用資源。 不過,可能不會禁止來賓存取 Power Apps Maker Portal。
- Copilot Studio 中建立的項目可能會使用圖形連接器做為 Microsoft Power Platform 外部的知識來源。 目前,即使來賓存取被禁止,其中的資訊也可能會被來賓存取。
管理員權限 (預覽版)
[本區段是發行前版本文件,並且隨時可能變更。]
重要
- 這是預覽功能。
- 預覽功能不供生產時使用,而且可能功能受限。 這些功能應受補充使用規定規範,並且是在正式發行前先行推出,讓客戶可以搶先體驗並提供意見反應。
管理員權限功能僅適用於受控環境。 您可以限制 Microsoft Entra ID 和 Microsoft Power Platform 中具有高權限管理角色的使用者數量,來提高租用戶的安全性分數。 您可以使用此功能查看具有這些特殊權限角色的使用者、查看使用者清單並刪除不再具有特殊權限存取權限的使用者。 如需詳細資訊,請參閱 Power Platform 系統管理中心概觀。
具有管理權限的使用者
如果租用戶中的許多使用者都具有管理權限,管理權限窗格會提供主動建議。 您可以開啟建議以查看許多使用者俱有系統管理員資訊安全角色的環境清單。 (目前,清單顯示有超過 20 個使用者俱有該角色的環境。) 對於清單中的任何環境,選擇系統管理員資料欄中的連結以開啟資訊安全角色頁面。 在那裡,您可以選擇系統管理員資訊安全角色,然後選擇成員資格以開啟成員資格頁面。 此頁面顯示具有角色指派的使用者清單。 您可以選擇從角色中刪除使用者,一次刪除一個使用者。
注意
只有分配了全域管理員角色的使用者才能從全域管理員角色中刪除其他使用者。
已知問題
請注意該功能的以下已知問題:
- 資訊安全角色的成員資格頁面僅顯示預設業務單位中的資訊安全角色。 若要查看所有業務單位的所有資訊安全角色,請關閉僅顯示父資訊安全角色選項。
- 從系統管理員角色中刪除使用者後,頁面大約需要 24 小時才能顯示更新的管理員數量。
代理程式的驗證 (預覽版)
[本區段是發行前版本文件,並且隨時可能變更。]
重要
- 這是預覽功能。
- 預覽功能不供生產時使用,而且可能功能受限。 這些功能應受補充使用條款所拘束,其為在正式發行前先行推出,讓客戶能夠搶先體驗並提供意見反應。
此功能允許管理員為環境中的所有客服專員互動設定身份驗證。 管理員可以選取下列其中一個選項:
- 向 Microsoft 進行驗證或手動驗證 可讓您透過 Microsoft Entra ID 強制進行驗證,或 手動進行驗證。 這有助於防止製作者在沒有身份驗證的情況下建立或使用代理程式。
- 沒有身份驗證 允許匿名訪問。
如需有關 Copilot Studio 中驗證選項的資訊,請移至 在 Copilot Studio 中設定使用者驗證。
Agent 驗證功能是現有虛擬連接器的現代化架構,無需 Microsoft Entra ID 即可聊天。 它可協助您透過環境層級組態和規則進行擴展。 如果您同時使用 Power Platform 系統管理中心安全性區域中的虛擬連接器和代理程式驗證設定,則必須在這兩個位置都允許存取,才能在執行階段允許存取。 如果您在任一位置封鎖匿名存取,則在執行階段會強制執行最嚴格的行為,而且會封鎖它。 例如,請考慮下表中的資訊。
| 虛擬連接器中的存取權 | 在 Power Platform 系統管理中心的 代理程式驗證 設定中存取 | 執行階段強制執行 |
|---|---|---|
| 已封鎖 | 已封鎖 | 已封鎖 |
| 允許 | 已封鎖 | 已封鎖 |
| 已封鎖 | 允許 | 已封鎖 |
| 允許 | 允許 | 允許 |
我們建議所有客戶轉向使用 Power Platform 系統管理中心中的 代理程式驗證 設定,以利用群組和規則的功能。
代理程式存取點 (預覽)
[本區段是發行前版本文件,並且隨時可能變更。]
重要
- 這是預覽功能。
- 預覽功能不供生產時使用,而且可能功能受限。 這些功能應受補充使用條款所拘束,其為在正式發行前先行推出,讓客戶能夠搶先體驗並提供意見反應。
此功能使管理員能夠控制代理的發布位置,從而允許跨多個平台進行客戶參與。 系統管理員可以選取多個可用管道,例如 Microsoft Teams、Direct Line、Facebook、Dynamics 365 for Customer Service、SharePoint 和 WhatsApp。
代理存取點功能是現有虛擬連接器的現代化架構。 它可協助您透過環境層級組態和規則進行擴展。 如果您在 Power Platform 系統管理中心的安全性區域中同時使用虛擬連接器和客服人員存取點設定,則必須在這兩個位置都允許存取,才能在執行階段允許存取。 如果您在任一位置封鎖通道存取,則在執行階段會強制施行最嚴格的限制,並且會封鎖通道存取。 例如,請考慮下表中的資訊。
| 虛擬連接器中的存取 | 在 Power Platform 系統管理中心的 代理程式存取點 設定中存取 | 執行階段強制執行 |
|---|---|---|
| 已封鎖 | 已封鎖 | 已封鎖 |
| 允許 | 已封鎖 | 已封鎖 |
| 已封鎖 | 允許 | 已封鎖 |
| 允許 | 允許 | 允許 |
我們建議所有客戶轉向使用 Power Platform 系統管理中心中的 代理程式存取點 設定,以利用群組和規則的功能。