الأمان في Microsoft Power Platform

يتيح Power Platform للمطورين غير المحترفين والمحترفين إنشاء حلول شاملة بسرعة وسهولة. يُعد الأمان أمرًا حساسًا بالنسبة لهذه الحلول. تم بناء Power Platform لتوفير حماية رائدة في المجال.

تعمل المؤسسات على تسريع عملية انتقالها إلى السحابة، حيث تقوم بدمج التقنيات المتقدمة في العمليات واتخاذ القرارات التجارية. يعمل المزيد من الموظفين عن بعد. ويشهد الطلب على الخدمات عبر الإنترنت ارتفاعًا كبيرًا. ولم يعد أمان التطبيق التقليدي كافيًا. تتحوّل المؤسسات التي تبحث عن حلول أمان سحابية أصلية متعددة المستويات ومتعمقة لبيانات المعلومات المهنية إلى Power Platform. نضع وكالات الأمن الوطنية والمؤسسات المالية وموفري الرعاية الصحية المعلومات الأكثر حساسية في عهدة Power Platform.

Microsoft قامت باستثمارات ضخمة في مجال الأمن منذ منتصف عام 2000. يعمل أكثر من 3500 Microsoft مهندس على معالجة مشهد التهديدات المتغير باستمرار بشكل استباقي. Microsoft يبدأ الأمان من نواة BIOS على الرقاقة ويمتد وصولا إلى تجربة المستخدم. أما اليومي، فإن حزمة الأمان لدينا هي الأكثر تقدمًا في الصناعة. Microsoft على نطاق واسع على أنها الشركة الرائدة عالميا في مكافحة الجهات الفاعلة الخبيثة. يتم تكليف Microsoft مليارات أجهزة الكمبيوتر وتريليونات عمليات تسجيل الدخول وزيتابايت من البيانات بالحماية.

يعتمد Power Platform على هذا الأساس القوي. إنه يستخدم نفس حزمة الأمان التي منحت Azure الحق في خدمة وحماية البيانات الأكثر حساسية في العالم، ويتكامل مع حماية المعلومات الأكثر تقدمًا وأدوات الامتثال الخاصة بـ Microsoft 365. يقدم Power Platform حماية شاملة تم تصميمها مع أخذ مخاوف العملاء التي تطرح تحديات كثيرة في عصر السحابة:

• كيف يمكن التحكم في من يمكنه الاتصال، ومن أين يتصلون، وكيف يتصلون؟ كيف يمكن التحكم في الاتصالات؟
• كيف يتم تخزين بياناتنا؟ كيف يتم تشفيرها؟ ما الضوابط الموضوعة على بياناتنا؟
• كيف يمكننا التحكم في بياناتنا الحساسة وحمايتها؟ كيف يمكننا أن نتأكد من عدم تسرب هذه البيانات خارج المؤسسة؟
• كيف يمكن التدقيق في الجهة التي يمكنها تنفيذ المهام؟ كيف يمكننا أن نتفاعل بسرعة إذا اكتشفنا وجود نشاط مشبوه؟

الحوكمة

Power Platform تخضع الخدمة لشروط Microsoft الخدمات عبر الإنترنت وبيان Microsoft خصوصية المؤسسة. لمعرفة موقع معالجة البيانات، راجع Microsoft شروط الخدمات عبر الإنترنت وملحق حماية البيانات.

مركز Microsoft التوثيق هو المورد الأساسي لمعلومات Power Platform التوافق. تعرف على المزيد في Microsoft عروض الامتثال.

تتبع خدمة Power Platform دورة حياة تطوير الأمان (SDL). SDL هي مجموعة من الممارسات الصارمة التي تدعم متطلبات ضمان الأمان و التوافق. تعرف على المزيد في Microsoft ممارسات دورة حياة تطوير الأمان.

مفاهيم الأمان العامة في Power Platform

يتضمن Power Platform خدمات متعددة. تنطبق بعض مفاهيم الأمان التي سنغطيها في هذه السلسلة عليها كلها. أما المفاهيم الأخرى فتتعلق بخدمات فردية. حيث تختلف مفاهيم الأمان، سنقوم باستدعائها.

تتضمن مفاهيم الأمان المشتركة بين جميع خدمات Power Platform:

• بنية خدمة Power Platform، أو كيفية تدفق المعلومات عبر النظام
• المصادقة على Power Platform الخدمات، أو كيفية وصول المستخدمين إلى الخدمات
• الاتصال بمصادر البيانات والمصادقة عليها، أو كيفية اتصال الخدمات بمصادر البيانات ووصول المستخدمين إلى البيانات
• تخزين البيانات في Power Platform أو كيفية حماية البيانات سواء كانت في حالة سكون أو أثناء النقل بين الأنظمة والخدمات

بنية خدمة Power Platform

Power Platform الخدمات مبنية على منصة الحوسبة السحابية من Azure Microsoft. تتكوّن بنية خدمة Power Platform من أربعة مكونات:

• مجموعة الواجهة الأمامية على الويب
• مجموعة خلفية
• بنية أساسية متميزة
• أنظمة أساسية للأجهزة المحمولة

مجموعة الواجهة الأمامية على الويب

تنطبق على خدمات Power Platform التي تعرض واجهة مستخدم ويب. تعرض مجموعة الواجهة الأمامية على الويب الصفحة الرئيسية للخدمة أو التطبيق لمستعرض المستخدم. إنها تستخدم Microsoft Entra لمصادقة العملاء في البداية، وتوفير الرموز المميزة لاتصالات العميل اللاحقة ، إلى خدمة Power Platform الخلفية.

تتكون مجموعة الواجهة الأمامية على الويب من موقع ويب ASP.NET يعمل في بيئة Azure App Service. عندما يزور المستخدم خدمة أو تطبيق Power Platform، قد تحصل خدمة DNS للعميل على مركز البيانات الأنسب (الأقرب عادةً) من Azure Traffic Manager. لمزيد من المعلومات، راجع أسلوب توجيه حركة مرور الأداء لمدير حركة مرور Azure.

تدير مجموعة الواجهة الأمامية على الويب تسلسل تسجيل الدخول والمصادقة. وهي تحصل على الرمز المميز للوصول لـ Microsoft Entra بعد مصادقة المستخدم. يوزع مكون ASP.NET الرمز المميز لتحديد المؤسسة التي ينتمي إليها المستخدم. بعد ذلك، يستشير المكون الخدمة الخلفية العمومية Power Platform كي يحدد للمستعرض المجموعة الخلفية التي تضمّ مستأجر المؤسسة. تحدث تفاعلات العميل اللاحقة مع المجموعة الخلفية مباشرة، دون الحاجة إلى وسيط الواجهة الأمامية على الويب.

يقوم المستعرض بإحضار موارد ثابتة، مثل ملفات js. وcss. وملفات الصور، بشكل أساسي من شبكة تسليم محتوى Azure ‏(CDN). لاحظ أن عمليات نشر مجموعات الحكومة المتحدة هي استثناء من هذه القاعدة. ولأسباب تتعلق بالتوافق، تتجاهل عمليات النشر هذه Azure CDN. وستستخدم بدلاً من ذلك مجموعة الواجهة الأمامية على الويب من منطقة متوافقة لاستضافة محتوى ثابت.‬

المجموعة الخلفية في Power Platform

تعد المجموعة الخلفية العمود الفقري لجميع الوظائف المتاحة في خدمة Power Platform. إنها تتكون من نقاط نهاية الخدمة وخدمات العمل في الخلفية وقواعد البيانات وذاكرة التخزين المؤقت ومكونات أخرى.

تتوفر النهاية الخلفية في معظم مناطق Azure، ويتم نشرها في مناطق جديدة بمجرد توفرها. بإمكان منطقة واحدة استضافة مجموعات متعددة. يسمح هذا التكوين لخدمات Power Platform متعددة التحجيم الأفقي غير المحدود بعد الوصول إلى حدود التحجيم الرأسي والأفقي لمجموعة واحدة.

المجموعات الخلفية هي ذات حالة وتستضيف المجموعة الخلفية جميع بيانات جميع المستأجرين المعينين لها. ويشار إلى المجموعة التي تحتوي على بيانات مستأجر معين باسم نظام المجموعة الرئيسية للمستأجر. يتم توفير معلومات حول المجموعة الرئيسية للمستخدم المصادق عليه من خلال خدمة الواجهة الخلفية العالمية لـ Power Platform إلى مجموعة الواجهة الأمامية للويب. تستخدم الواجهة الأمامية على الويب المعلومات لتوجيه الطلبات إلى المجموعة الخلفية الرئيسية للمستأجر.

يتم تخزين البيانات وبيانات التعريف الخاصة بالمستأجر ضمن حدود المجموعة. الاستثناء هو النسخ المتماثل للبيانات إلى مجموعة خلفية ثانوية موجودة في منطقة مقترنة في نفس جغرافية Azure. تعمل المجموعة الثانوية بمثابة تجاوز الفشل في حالة انقطاع الخدمة في المنطقة، وهي خاملة في أي وقت آخر. تعمل أيضًا الخدمات الصغيرة التي تعمل على أجهزة مختلفة في الشبكة الافتراضية للمجموعة كوظائف خلفية. يمكن الوصول إلى اثنتين فقط من هذه الخدمات الصغيرة من الإنترنت العامة:

• خدمة البوابة
• إدارة Azure API

البنية الأساسية لـ Power Platform ‏Premium

يوفر Power Platform Premium الوصول إلى مجموعة واسعة من الموصلات كخدمة مدفوعة. لا توجد قيود على المنشئين في Power Platform تتعلق باستخدام الموصلات المتميزة، ولكن مثل هذه القيود موضوعة على مستخدمي التطبيق. هذا يعني، أنه يجب أن يتوفر لدى مستخدمي تطبيق يتضمن موصلات متميزة الترخيص الصحيح للوصول إليها. تحدد الخدمة الخلفية Power Platform ما إذا كان المستخدم لديه حق الوصول إلى الموصلات المتميزة أم لا.

أنظمة أساسية للأجهزة المحمولة

يدعم Power Platform تطبيقات Android وiOS وWindows ‏(UWP). تنقسم اعتبارات الأمان لتطبيقات الأجهزة المحمولة إلى فئتين:

• اتصال الجهاز
• التطبيق والبيانات الموجودة على الجهاز

اتصال الجهاز

تستخدم تطبيقات Power Platform للأجهزة المحمولة تسلسلات الاتصال والمصادقة نفسها المستخدمة بواسطة المستعرضات. تفتح تطبيقات Android وiOS جلسة مستعرض في التطبيق. تستخدم تطبيقات Windows وسيطًا لإنشاء قناة اتصال مع خدمات Power Platform لعملية تسجيل الدخول.

يوضح الجدول التالي دعم المصادقة المستندة إلى الشهادة (CBA) لتطبيقات الأجهزة المحمولة:

دعم CBA	iOS	Android	النوافذ
تسجيل الدخول إلى الخدمة	مدعوم	مدعوم	غير مدعوم
SSRS ADFS on-prem (الاتصال بخادم SSRS)	غير مدعوم	مدعوم	غير مدعوم
وكيل تطبيق SSRS	مدعوم	مدعوم	غير مدعوم

تتواصل تطبيقات الأجهزة المحمولة بنشاط مع خدمات Power Platform. يتم نقل إحصاءات استخدام التطبيق وبيانات مماثلة إلى الخدمات التي تراقب الاستخدام والنشاط. لا يتم تضمين بيانات العملاء.

التطبيق والبيانات الموجودة على الجهاز

يتم تخزين تطبيق الأجهزة المحمولة والبيانات التي يحتاج إليها بطريقة آمنة على الجهاز. يتم تخزين الرموز المميزة للتحديث وMicrosoft Entra باستخدام إجراءات الأمان القياسية في المجال.

تتضمن البيانات المخزنة مؤقتًا على الجهاز بيانات التطبيق وإعدادات المستخدم ولوحات المعلومات والتقارير التي تم الوصول إليها في الجلسات السابقة. ويتم تخزين الذاكرة المؤقتة في بيئة اختبار معزولة في مساحة تخزين داخلية. يمكن الوصول إلى ذاكرة التخزين المؤقت فقط بالنسبة إلى ويمكن تشفيرها بواسطة نظام التشغيل.

• iOS: يتم التشفير تلقائيًا عندما يقوم المستخدم بتعيين رمز مرور.
• Android: يمكن تكوين التشفير في الإعدادات.
• Windows: تتم معالجة التشفير بواسطة BitLocker.

Microsoft يمكن استخدام التشفير على مستوى ملف Intune لتحسين تشفير البيانات. Intune هي خدمة برمجية توفر إدارة الأجهزة المحمولة والتطبيقات. تدعم جميع الأنظمة الأساسية الثلاث للأجهزة المحمولة Intune. مع تمكين Intune وتكوينه، يتم تشفير البيانات الموجودة على الجهاز المحمول، ولا يمكن تثبيت تطبيق Power Platform على بطاقة SD.

تدعم تطبيقات Windows أيضًا حماية معلومات Windows ‏(WIP).

يتم حذف البيانات المخزنة مؤقت عند قيام المستخدم بما يلي:

• إزالة تثبيت التطبيق
• تسجيل الخروج من خدمة Power Platform
• يفشل في تسجيل الدخول بعد تغيير كلمة مرور أو انتهاء صلاحية الرمز المميز

يتم تمكين تحديد الموقع الجغرافي أو تعطيله بشكل صريح بواسطة المستخدم. في حالة التمكين، لا يتم حفظ بيانات تحديد الموقع الجغرافي على الجهاز ولا تتم مشاركتها معه Microsoft.

يتم تمكين الإشعارات أو تعطيلها بشكل صريح من قبل المستخدم. في حالة تمكين الإعلامات، لا يدعم Android وiOS متطلبات موقع إقامة البيانات الجغرافية.

لا تصل خدمات Power Platform للأجهزة المحمولة إلى مجلدات أو ملفات التطبيقات الأخرى الموجودة على الجهاز.

تتوفر بعض بيانات المصادقة المستندة إلى الرمز المميز لتطبيقات أخرى Microsoft ، مثل Authenticator، لتمكين تسجيل الدخول الأحادي. تُدار هذه البيانات بواسطة SDK لمكتبة المصادقة في Microsoft Entra.

المقالات ذات الصلة

المصادقة على Power Platform الخدمات
الاتصال بمصادر البيانات والمصادقة عليها
تخزين البيانات في Power Platform
Power Platform الأسئلة الشائعة حول الأمان

(راجع أيضًا)

• الأمن في Microsoft Dataverse
• Microsoft شروط الخدمات عبر الإنترنت
• Microsoft بيان خصوصية المؤسسة
• ملحق حماية البيانات
• Microsoft ممارسات دورة حياة تطوير الأمان
• أسلوب توجيه حركة مرور الأداء لإدارة حركة مرور Azure
• Microsoft Intune
• حماية البيانات في Windows (WIP)