設定身分識別與存取權管理

對於各行各業的 IT 管理員和首席資訊安全長 (CISO) 來說，管理對敏感資訊和資源的存取至關重要。 確保最小特殊權限存取對於維護強大的安全性至關重要。

Power Platform 與 Microsoft Entra ID 整合以進行身分識別和存取管理，使管理員能夠安全地管理使用者及其與 Power Platform 資源的互動。 Microsoft Entra ID 是 Microsoft 驗證的核心，並有助於防止身分識別遭到入侵。 Microsoft Entra ID 可讓 IT 管理員獲得能見度和控制權，並提供多重要素驗證和條件式存取等安全性功能。 受控安全性提供基於 Microsoft Entra ID 建置的功能，使管理員能夠進行精細控制，確保只有授權使用者才能存取資料和資源。

本文解釋了每一層的身分識別和存取權管理控制。

租用戶存取

租用戶層級存取是第一層安全保護，使用的是 Microsoft Entra ID。 它確保使用者擁有活躍的使用者帳戶並遵守任何條件式存取原則以進行登入。 然而，僅擁有一個啟用中的帳戶並不足以獲得平台的存取權限。 只有擁有適當授權的使用者才能進行驗證並使用平台。

服務管理員角色

您可以指派兩個 Power Platform 相關服務管理員角色，以提供高階的管理員管理：

• Power Platform 管理員：此角色可以執行 Power Platform 中的所有管理功能，無論環境層級的安全性群組成員資格為何。
• Dynamics 365 管理員：此角色可以在 Power Platform 中執行大多數管理功能，但僅限於其所屬安全性群組的環境。

這些角色無法管理其他 Microsoft 365 應用程式的使用者帳戶、訂閱和存取設定。 您需要與組織中的其他管理員合作來執行這些任務。 如需每個角色權限的詳細資訊，請檢閱 服務管理員權限矩陣。

管理身分會帶來重大的安全風險，因為他們的任務需要對許多系統和應用程式的特殊權限存取。 外洩或濫用可能會損害您的業務及其資訊系統。 管理安全性是最重要的安全性領域之一。

保護特殊權限存取免受堅決的對手的攻擊需要一種完整而周到的方法來隔離系統與風險。 以下是一些策略：

• 盡量減少關鍵影響帳戶的數量。
• 使用單獨的角色而不是提升現有身分的權限。
• 透過使用識別提供者的即時 (JIT) 功能來避免永久或常駐存取。 如果出現意外狀況，請遵循緊急存取流程。 使用 Privileged Identity Management (PIM) (Microsoft Entra ID 的一項功能) 來管理、控制和監視這些高權限角色的使用。
• 使用現代存取協議，如無密碼驗證或多因素驗證。
• 使用條件式存取原則強制實施關鍵安全性屬性。
• 停用未使用的管理帳戶。

條件式存取

條件式存取是 Microsoft Entra ID 的功能，可讓您根據有關使用者狀況的訊號套用原則。 這些訊號可協助您評估風險層級並採取適當的措施。 條件式存取原則，最簡單的說，就是「if-then」陳述式，定義使用者必須做什麼才能存取資源。 例如，如果使用者想要存取追蹤合規性流程的 Power Apps 畫布應用程式，您可以要求使用者使用多重要素驗證。

不要為所有身分識別提供相同層級的存取權。 可根據兩個主要因素做出決定：

• 時間。 身分識別可以存取環境的時間長度。
• 權限。 權限的層級。

這些因素並不是互相排斥的。 擁有更多權限和無限存取時長的受損身分可以獲得對系統和資料的更多控制，或使用該存取權限繼續改變環境。 限制這些存取因素既是一種預防措施，也是為了控制爆炸半徑。

即時 (JIT) 方法僅在您需要時提供所需的權限。

剛好的存取權限 (JEA) 僅提供所需的權限。

雖然時間和特權是主要因素，但也有其他條件適用。 例如，您還可以使用源自存取的裝置、網路和位置來設定策略。

使用強大的控制來篩選、偵測和禁止未經授權的存取，包括使用者身分和位置、裝置健康狀況、工作負載環境、資料分類和異常等參數。

例如，您的工作負載可能需要由第三方身分識別 (如廠商、合作夥伴和客戶) 存取。 他們需要適當的存取層級，而不是您提供給全職員工的預設權限。 明確區分外部帳戶可以更輕鬆地預防和偵測來自這些媒介的攻擊。

規劃如何使用原則來強制執行 Power Platform 的安全性指導方針。 您可以使用原則將 Power Platform 存取權限限制為特定使用者或條件，例如他們所在的位置、他們正在使用的裝置和安裝在其上的應用程式，以及他們是否使用多重要素驗證。 條件式存取是靈活的，但這種靈活性可能允許您建立具有不良結果的原則，包括鎖定您自己的管理員。 規劃指南可以幫助您思考如何規劃使用條件式存取。

深入了解：

• 根據 Microsoft Entra 條件式存取位置封鎖存取
• Microsoft Power Automate (流程) 中對條件式存取和多重要素驗證的建議

持續存取評估

持續性存取評估是 Microsoft Entra ID 的功能，可監視特定事件和變更，以判斷使用者應保留還是應失去對資源的存取權。 OAuth 2.0 驗證通常會依靠存取權杖到期時間來撤銷使用者對新式雲端服務的存取權。 存取權限終止的使用者仍會保留對資源的存取權，直到存取權杖到期為止 （對於 Power Platform，預設情況下，最長為一小時）。 不過，透過持續性存取評估，Power Platform 服務 (例如 Dataverse) 會持續評估使用者的關鍵事件和網路位置變更。 他們會積極終止活躍使用者工作階段，或者需要重新驗證，並近乎即時地執行租用戶原則變更，而不是等待存取權杖過期。

隨著組織不斷採用混合式工作模型和雲端應用程式，Microsoft Entra ID 成為保護使用者和資源的關鍵主要安全界限。 條件式存取將該範圍擴展到網路邊界之外，包括使用者和裝置身分。 持續存取可確保隨著事件或使用者位置的變更而重新評估存取。 您可以將 Microsoft Entra ID 與 Power Platform 產品搭配使用，以在整個應用程式組合中套用一致的安全性治理。

檢閱這些身分識別管理最佳做法，以取得更多有關如何將 Microsoft Entra ID 與 Power Platform 搭配使用的提示。

環境存取

Power Platform 環境是表示 Power Platform 中安全性邊界的邏輯容器和治理管理單元。 從管理角度來看，虛擬網路、加密箱和安全性群組等許多功能都在環境層級的粒度上運作。 這種粒度允許根據您的業務需求在不同的環境中實施不同的安全要求。 使用者根據其被指派的資訊安全角色獲得對環境的存取權限。 除非是預設環境，否則僅擁有租用戶層級的授權和身分不足以授予對環境的存取權限。

具有 Dataverse 的環境支援進階安全性模型，用於控制對 Dataverse 資料庫中資料和服務的存取。

將安全性群組指派給環境

使用安全性群組來控制哪些授權使用者可以成為特定環境的成員。 您可以使用安全性群組來控制誰可以存取預設環境或開發人員環境以外 Power Platform 環境中的資源。 將一個安全性群組連結到每個具有至少一個使用者或嵌套安全性群組的環境。 為每個環境使用一個安全性群組可確保只有正確的使用者才能存取它。 如果您自動化環境建立流程，您還可以自動化建立安全性群組並確保您的管理員可以存取任何新環境。

Power Platform 管理員可以存取所有環境，即使他們不在該環境的安全性群組中。 Dynamics 365 管理員需要加入安全性群組才能存取環境。

管理來賓使用者

您可能需要讓來賓使用者存取環境和 Power Platform 資源。 與內部使用者一樣，您可以使用 Microsoft Entra ID 條件式存取和持續性存取評估來確保來賓使用者維持在較高的安全性層級。

為了進一步增強安全性並降低不慎過度分享的風險，您還可以視需要封鎖或允許 Microsoft Entra 來賓存取 Dataverse 支援的環境。 新的 Dataverse 支援環境預設會限制來賓存取，確保一開始就有安全的設定。 您也可以透過為現有環境啟用此設定來進一步提高您的安全分數。

將路線製作者引導至自己的開發環境

環境路由可讓 Power Platform 管理員在新建立者或現有建立者登入 Power Platform 產品 (例如 Power Apps 或 Copilot Studio) 時自動將這些建立者導向至他們自己的個人開發人員環境。 建議您設定環境路由，為製作者提供可使用 Microsoft Dataverse 建置的個人安全空間，而不用擔心其他人存取他們的應用程式或資料。

資源存取

資訊安全角色控制在環境中建立和執行特定應用程式和流程的能力。 例如，您可以直接與使用者或 Microsoft Entra ID 群組共用畫布應用程式，但 Dataverse 的安全角色仍然適用。 不過，您只能透過 Dataverse 資訊安全角色共用模型導向應用程式。

根據身分需求指派角色

根據每個身分的責任授權行動。 確保某個身分的操作權限不超出其所需。 在設定授權規則之前，請確保您了解誰或什麼在發出請求、該角色被允許做什麼以及其權限的範圍。 這些因素指導著結合身分、角色和範圍的決策。

請考量下列問題：

• 身分是否需要對資料進行讀取或寫入存取？ 需要什麼層級的寫入存取權限？
• 如果身分識別遭到不良行為者洩露，系統的機密性、完整性和可用性會受到什麼影響？
• 身分是否需要永久存取或可以考慮有條件式存取？
• 身分識別是否執行需要系統管理或提高許可權的動作？
• 工作負載將如何與第三方服務互動？

角色是指派給身分識別的一組權限。 指派僅允許該身分完成工作的角色，僅此而已。 當使用者的權限僅限於其作業要求時，可以更輕鬆地識別系統中的可疑或未經授權的行為。

提問以下問題：

• 身分識別是否需要權限才能刪除資源？
• 角色是否只需要存取他們建立的記錄？
• 是否需要根據使用者所在的事業單位進行階層式存取？
• 角色是否需要管理權限或提升權限？
• 角色是否需要對這些權限的永久存取權限？
• 如果使用者換了工作，會發生什麼情況？

限制使用者的存取層級可減少潛在受攻擊面。 如果您僅授予執行特定任務所需的最低權限，則可以降低成功攻擊或未經授權存取的風險。 例如，開發人員只需要存取開發環境，而不需要存取實際執行環境。 他們需要存取權限來建立資源，但不能變更環境屬性。 他們可能需要存取 Dataverse 的讀/寫資料，但無法變更 Dataverse 資料表的資料模型或屬性。

避免針對個別使用者的權限。 細緻和自訂的權限設定會引起複雜性和混亂。 當使用者變更角色並在整個企業中移動時，或當具有類似驗證需求的新使用者加入團隊時，它們可能會變得難以維護。 這種情況會造成複雜的舊版組態，難以維護，並對安全性和可靠性產生負面影響。

授與一開始只有最低權限的角色，然後根據您的作業或資料存取需求新增更多權限。 技術團隊必須有明確的指引才能實作權限。

建立管理身分識別生命週期的流程

對身分識別的存取持續時間不得超過身分識別存取的資源。 請確定您有在團隊結構或軟體元件發生變更時停用或刪除身分識別的程序。

建立身分控管程式，以管理數位身分識別、高權限使用者、外部或來賓使用者，以及工作負載使用者的生命週期。 實施存取權檢閱，以確保當身分識別離開組織或團隊時，刪除其工作負載權限。

設定共用限制

隨著各行各業競相採用 AI，管理人員正在尋求解決過度共用資源的風險。 受控安全性支援畫布應用程式和解決方案感知雲端流程的細微共用限制，防止製作者跨安全性群組共用流程以及與個人共用流程。

對於 Copilot Studio 代理程式案例，管理員可以針對每個環境或環境群組對編輯者與檢視者權限進行精細控制。 他們還可以將觀眾限制為特定的安全性群組、個人或一定數量的觀眾。

除了這些細粒度的共用限制之外，還限制了製作者使用所有人簡寫與組織中的每個人共用應用程式的能力。

深入了解：

• 共用畫布應用程式
• 與來賓使用者共用畫布應用程式
• 共用雲端流程
• 與其他使用者共用 Agent

連線到支援受控識別碼的 Azure 資源

為了將存取外部資源相關的風險降到最低， Dataverse 外掛程式的受控識別支援 可提供安全且無縫的驗證。 此支援消除了對硬式編碼憑證的需求，並簡化了資源存取的管理。

Dataverse 存取

Dataverse 使用豐富的 安全性模型 來保護資料完整性和使用者隱私，同時促進高效的資料存取和共同作業。 您可以結合業務單位、角色型安全性、資料列型安全性和資料行型安全性，以定義使用者在 Power Platform 環境中擁有的資訊整體存取權。 角色型存取控制 (RBAC) 可讓您定義存取權限並以可擴展的方式管理資料存取。 藉由使用各種內建或自訂資訊安全角色，您可以在資料庫、資料表或特定記錄層級授與許可權。

Dataverse 啟用細部存取控制以管理授權和資料層級資訊安全角色。 這些角色定義了列、欄位、層次和群組保護，提供了保護應用程式中高度敏感的業務資料所需的細微度和靈活性。

Microsoft Purview 資料對應是整合的自動化解決方案，可在不同資料來源和網域 (包括 Dataverse) 之間探索、分類和標記敏感性資料。 使用 Purview Data Map 進行標記使組織能夠自動對資料進行分類並輕鬆識別敏感資料。 您可以透過 Purview 資料對應整合，使用符合業務及合規性需求的預先定義規則和原則來減少在 Dataverse 中標記資料所涉及的手動工作和人為錯誤。

了解身分識別和存取權管理要求

作為客戶，您有責任：

• 帳戶和身分管理
• 建立和設定條件式存取原則
• 建立和指派資訊安全角色
• 啟用和設定稽核和監控
• Power Platform 可能與之連接的元件的驗證和安全性

了解您實作中 Power Platform 工作負載的主要需求。 問自己以下問題以協助確定要設定的身分識別和存取權管理功能。

• 如何實施存取控制和驗證機制以確保只有授權使用者才能存取工作負載？
• 如何確保安全、無縫的使用者驗證？
• 如何控制哪些應用程式可以與生成式 AI (Agent) 互動，以及哪些措施確保這些限制有效？
• 工作負載如何安全地與其他內部和外部系統整合？
• 使用者從哪裡存取此解決方案？ 例如，他們是否使用行動裝置或網頁瀏覽器？
• 您的使用者是內部使用者、外部使用者還是兩者兼具？

建議

有效控管製作者、使用者和來賓對於維護 Power Platform 環境中的安全性、合規性和營運效率至關重要。 以下是管理存取和權限的詳細建議：

1. 將製作者路由至他們自己的個人開發環境：使用環境路由鼓勵製作者使用自己的個人開發環境來建置和測試應用程式。 這種方法將開發活動與實際執行環境隔離開來，降低了意外變更或中斷的風險。 個人開發環境為實驗和創新提供了一個安全的空間，而不會影響關鍵的業務運作。

2. 不要在測試和生產環境中允許製作者權限：限制製作者在測試和生產環境中的權限，以防止未經授權的變更，並確保僅部署已獲核准和全面測試的應用程式。 這種職責分離有助於維護生產系統的完整性和穩定性，最大地降低錯誤和安全漏洞的風險。

3. 使用最低權限的資訊安全角色控制存取：實作角色型存取控制 (RBAC)，以根據最低權限原則指派權限。 僅授予使用者執行特定任務所需的存取權限。 透過限制權限，您可以減少攻擊面並最大限度地減少安全漏洞的潛在影響。

4. 叫用「執行診斷」以診斷使用者存取問題：使用執行診斷命令來疑難排解並診斷使用者存取問題。 該工具有助於識別和解決與權限相關的問題，確保使用者擁有適當的存取權限來執行他們的任務。 定期診斷還可以幫助偵測和解決潛在的安全漏洞。

5. 限制與每個人共用，並評估設定特定限制：避免允許每個人存取資源的廣泛共用權限。 設定特定的共用限制來控制製作者可以與多少使用者共用他們的應用程式和資料。

6. 將資料原則套用至預設和開發人員環境：將資料原則套用至預設和開發人員環境，以限制僅存取製作者所需的連接器。 這種方法有助於防止未經授權的資料傳輸並確保敏感資訊受到保護。 定期審查和更新資料政策，以符合不斷變化的安全要求。

7. 使用 Microsoft Entra ID 群組保護環境存取安全：使用 Microsoft Entra ID 群組來管理和保護對 Power Platform 環境的存取。 透過根據使用者的角色和職責對其進行分組，您可以有效地指派和管理權限。 隨著組織需求的發展，Microsoft Entra ID 群組也簡化了更新存取控制的程序。

8. 使用 Dataverse 擁有內建的彈性 RBAC 安全性模型：Dataverse 提供內建的彈性角色型存取控制安全性模型，可讓您有效地管理使用者權限和資料存取權。 此模型使您能夠定義自定義角色並根據工作職能和職責分配特定權限。 確保使用者只有執行任務所需的存取權限。 Dataverse 的 RBAC 模型透過細微權限、階層式安全性和團隊型存取等功能，在 Power Platform 環境中增強資料保護、支援法規需求合規性，並簡化使用者存取管理。

後續步驟

查看本系列中的詳細文章以進一步增強您的安全態勢：

• 偵測對您組織的威脅
• 建立資料保護和隱私權控制措施
• 實作資料原則策略
• 滿足合規性需求
• 保護預設環境安全

檢閱文章後，請檢閱安全性檢查清單，以確保 Power Platform 部署穩健、有彈性且符合最佳做法。