نماذج الإدارة والحوكمة

للحفاظ على الأمان والتحكم عند نشر العوامل في Microsoft 365، يجب أن تفهم نماذج الإدارة والحوكمة الأساسية. يقدم Microsoft 365 نهجين معماريين متميزين، لكل منهما ضوابط أمنية مختلفة وآليات الموافقة والقدرات الإدارية.

يمكنك نشر الْوكلاء كبوتات Teams، فِي Microsoft 365 Copilot وCopilot Chat. بالإضافة إلى ذلك، يمكنك استضافة الوكلاء ذاتيا على الأنظمة الأساسية التي تملكها، مثل مدخل الويب أو تطبيق الأجهزة المحمولة.

يؤثر الاختيار بين هذه النماذج على كيفية إدارة مؤسستك للوصول إلى البيانات وأذونات المستخدم وتكامل الخدمة الخارجية. تقارن هذه المقالة نموذج تطبيق Teams ونموذج عامل Copilot لمساعدتك على فهم آثارها الأمنية وتحديد النهج الأنسب لمتطلباتك التنظيمية.

نموذج تطبيق Teams

توفر تطبيقات Teams وPower Platform الحالية التحكم في كل تطبيق ولكل مستوى موصل، ما يعني أن موافقة المسؤول تحدث في وقت الاستحواذ. على سبيل المثال، تطلب تطبيقات Teams الموافقة على التثبيت، ولا يمكنك الحصول على موصلات Power Platform إذا تم حظرها بواسطة نهج البيانات.

ينفذ نموذج تطبيق Teams عناصر تحكم أمان خارجية حيث تحدث الموافقة الإدارية في وقت الحصول على التطبيق. يوفر هذا النموذج تحكما دقيقا في الوصول إلى الخدمة الخارجية إلى حدود المستأجر Microsoft 365.

يسمح هذا النموذج بتعريف المحتوى وعبء العمل كعناصر دقيقة، مثل رسائل Teams ورسائل البريد الإلكتروني Microsoft Entra البيانات الخارجية المسورة مثل الخدمة الآن.

عرض مخطط تخطيطي نموذج أمان تطبيق Teams مع تدفق تحكم خارجي وموافقة المسؤول في وقت الاكتساب ومصادقة الخدمة إلى الخدمة بين Microsoft والتطبيقات الخارجية.

في هذا النموذج، تتطلب الخدمات الخارجية إذنا صريحا للوصول إلى بيانات المستأجر، حتى عندما لا تستخدم الأذونات الممنوحة بنشاط. يتيح هذا الأسلوب تعريفات المحتوى وأحمال العمل الدقيقة بما في ذلك رسائل Teams ورسائل البريد الإلكتروني ومصادر البيانات الخارجية المسورة من Entra.

تقلل آلية مصادقة الخدمة إلى الخدمة من المخاطر الناجمة عن تسمم DNS (نظام أسماء المجالات) أو هجمات اختطاف المجال، حيث إن المساس بخدمة التطبيق نفسها مطلوب للحصول على بيانات اعتماد التطبيق. ومع ذلك، يمكن أن يكون تحقيق دقة المحتوى المناسبة لمتطلبات العملاء المتنوعة (لكل علبة بريد، لكل موقع، وما إلى ذلك) أمرا صعبا.

نموذج عامل Copilot

في هذا النموذج، يقدم المستخدمون الموافقة عند نقطة استدعاء. في كل مرة يرسل فيها التطبيق البيانات، تتم مطالبة المستخدم بالسماح بالوصول إلى نقطة النهاية المحددة. لا يمكنك عزل المحتوى أو حمل العمل في هذا النموذج لأن كل المحتوى من نوع Copilot Chat بمجرد تركيبه. يصبح عنوان URL الخارجي كائناً دقيقاً أو نطاق التحكم والسيطرة، مع إدراج الروابط في القائمة المسموح بها وتقييم حزمة التطبيق.

يستخدم نموذج عامل Copilot عناصر تحكم الأمان الداخلية حيث يمنح المستخدمون الموافقة عند نقطة الاستدعاء. يتلقى المستخدمون مطالبات للسماح بمشاركة البيانات في كل مرة تخرج فيها المعلومات من حد المستأجر إلى الخدمات الخارجية.

رسم توضيحي يوضح نموذج الأمان عامل Copilot مع تدفق التحكم الداخلي، والموافقة المستندة إلى المستخدم في وقت استدعاء، والتخويل لكل رسالة للوصول إلى الخدمة الخارجية.

لا يتضمن هذا النموذج بيانات اعتماد المصادقة على مستوى الخدمة، لذا قم بتطبيق تصلب واجهة برمجة التطبيقات المناسب. يمكن للمسؤولين فقط منع أنواع المحتويات من مغادرة المستأجر عن طريق حظر استهلاكها في Copilot بالكامل من خلال تسميات منع فقدان البيانات.

يتيح النموذج الموافقة الدقيقة على مستوى كل رسالة أو لكل استدعاء ولكنه يعتمد بالكامل على قرارات المستخدم دون قدرات التدخل الإداري.

الخطوة التالية

فهم تدفقات بيانات العامل لتحديد حدود الأمان ومتطلبات الثقة والثغرات الأمنية المحتملة في أنظمة الوكلاء.

تدفقات البيانات المرجعية ونماذج التهديد لتقييمات الأمان

  • Last updated on