أمان البيئة

  • 10 دقائق

البيئات هي حاويات يمكن للمسؤولين استخدامها لإدارة التطبيقات والتدفقات والاتصالات وغيرها من الأصول، بالإضافة إلى أذونات للسماح لمستخدمي المؤسسة بوصول مراقب إلى البيئة ومواردها.

لا توفر التطبيقات فِي Microsoft Power Apps وتدفقات Microsoft Power Automate للمستخدمين حق الوصول إلى أصول البيانات التي لا يمكنهم الوصول إليها بالفعل. يجب أن يتوفر للمستخدمين وصول إلى البيانات التي يحتاجون إلى وصول إليها فقط.

الوصول إلى البيئات متعدد الطبقات. يتم تضمين البيئات ضمن مستأجر Microsoft Entra ID. تتم المصادقة على الوصول إلى البيئة بواسطة Microsoft Entra ID. يجب أن يكون لدى المستخدمين حساب مستخدم فِي Microsoft Entra ID للوصول إلى أي بيئة، كما يجب أن يتوفر لديهم ترخيص لاستخدام Microsoft Power Platform. للوصول إلى بيئة فردية، سيحتاج المستخدم إلى دور Microsoft 365 فِي حالة عدم توفر قاعدة بيانات Microsoft Dataverse، وسيحتاج إلى دور أمان Dataverse فِي حالة توفر قاعدة بيانات Dataverse. ويحتاج المستخدمون أيضاً إلى منحهم إذناً على الموارد الموجودة فِي بيئة مثل التطبيقات والتدفقات والموصلات.

يمكن للمسؤول أيضاً التحكم فِي الوصول إلى البيئات من مستأجري Microsoft Entra ID الآخرين فِي سيناريوهات شركة إلى شركة (B2B).

رسم تخطيطي لطبقة أمان Contoso مع Dataverse.

Microsoft Entra ID

يستخدم Microsoft Power Platform Microsoft Entra ID لمُصادقة المستخدمين.

يحتوي Microsoft Entra ID على الميزات التي يمكن أن يستخدمها Microsoft Power Platform:

  • إدارة الوصول والهوية - إدارة الوصول إلى التطبيقات من Power Apps.
  • المصادقة - التحقق من بيانات الاعتماد عندما يسجِّل مستخدم الدخول إلى تطبيق له العديد من المستخدمين فِي تدفق ما.
  • تسجيل الدخول الأحادي (SSO) - قم بالوصول إلى التطبيقات دون الاضطرار إلى تسجيل الدخول على نحو منفصل.
  • المصادقة متعددة العوامل - تطالب مستخدماً أثناء تسجيل الدخول بالحصول على أشكال هوية أخرى.
  • متاجرة عمل-عمل - إدارة المستخدمين الضيوف والشركاء الخارجيين مع الحفاظ على تحكم فِي بيانات شركتك. وصول الضيف مدعوم لـ Microsoft Power Platform.
  • الوصول المشروط - إدارة الوصول إلى تطبيقاتك باستخدام إشارات لاتخاذ قرارات حول السماح بالوصول.
  • إدارة الأجهزة - إدارة كيفية وصول أجهزتك إلى بيانات الشركة.
  • مستخدمو المؤسسة - إدارة هامة الترخيص.
  • الهوية المختلطة - يوفر Microsoft Entra ID هوية مستخدم واحدة للمصادقة والتخويل، بصرف النظر عن الموقع (سحابة أو محلي).
  • Identity governance - إدارة هوية مؤسستك من خلال الموظف وشريك الأعمال والمورد والخدمة وعناصر التحكم فِي الوصول للتطبيقات.
  • حماية الهوية - اكتشف الثغرات الأمنية المحتملة التي تؤثر على هويات مؤسستك.
  • التقارير والمراقبة - معارف دقيقة بشأن أنماط الأمان والاستخدام فِي البيئة لديك. يوفر مركز مسؤولي Microsoft Power Platform معرفة دقيقة أكثر تفصيلاً من التي يقدمها Microsoft Entra ID.

ميزات Microsoft Entra ID الأخرى غير المدعومة حالياً مع Microsoft Power Platform:

  • متاجرة عمل-مستهلك - تحكم فِي كيفية تسجيل دخول العملاء باستخدام هويات حسابات وسائل التواصل الاجتماعي أو المؤسسة أو الحساب المحلي المفضلة لديهم.
  • الهويات المدارة - هوية فِي Microsoft Entra ID يمكنها مصادقة أي خدمة مصادقة مدعومة من Microsoft Entra. هذه الميزة ليست مدعومة حالياً فِي Microsoft Power Platform، ويجب استخدام أساسيات الخدمة بدلاً منها.
  • إدارة الهويات المتميزة (PIM) - توفر وصول مسؤول غير مقيَّد على نحو فِي نفس الوقت (JIT).

من المرجح أن تكون المؤسسة قد اختارت كيفية تنفيذ حل Microsoft Entra ID وMicrosoft Power Platform، كما من غير المحتمل أن تغير هذا على نحو أساسي. ومع ذلك، يمكن أن يوفر Microsoft Power Platform إمكانية الوصول إلى مستخدمين لم يسبق أن كان لديهم حق الوصول إلى تطبيقات تكنولوجيا معلومات من قبل، مثل العاملين على الخطوط الأمامية المتنقلين وشركاء الأعمال والمقاولين الخارجيين الذين ليست لديهم هويات فِي Microsoft Entra ID. لذلك، قد يكون عليك أن تضع فِي اعتبارك الوصول المشروط و"متاجرة عمل-عمل" ووصول المستخدم الضيف.

ويتطلب الوصول المشروط ترخيص Premium فِي Microsoft Entra ID. يمكن أن تمنح سياسات الوصول المشروط أو تمنع الوصول إلى التطبيقات والبيانات بناءً على العوامل التالية:

  • المستخدم
  • الجهاز
  • الموقع

سير إجراءات العمل المفاهيمي المشروط.

التعاون من Microsoft Azure Active Directory B2B (Microsoft Entra ID B2B) هي ميزة تتيح لك دعوة مستخدمين ضيوف للتعاون مع مؤسستك. ويمكنك تعيين تراخيص لمستخدمين ضيوف لتشغيل تطبيقات تم إنشاؤها باستخدام Microsoft Power Platform. لا يمكن حالياً للمستخدمين الضيوف إنشاء Power Apps أو تحريره.

لمزيد من المعلومات، راجع مشاركة تطبيق لوحة مع المستخدمين الضيوف وحول Power Appsلخطط التطبيق.

العزل متعدد المستأجرين

في سيناريوهات التعاون لمتاجرة عمل-عمل، يمكنك مشاركة التطبيقات والبيانات الموجودة فِي المستأجر لديك بأمان أكبر مع مستأجر من مصدر آخر. في التكوين الافتراضي، يمكن لكل مستأجر الوصول إلى موارد المستأجر الآخر.

القيود الداخلية والخارجية عبر المستأجرين.

يحتوي Microsoft Entra ID على ميزة تسمي قيود المستأجر. باستخدام قيود المستأجر، يمكن للمؤسسات تحديد قائمة المستأجرين المسموح لمستخدميهم بالوصول إليها. ثم يمنح Microsoft Entra ID الوصول إلى هؤلاء المستأجرين المسموح بهم فقط. يتيح لك العزل عبر المستأجرين إمكانية تقييد المستأجرين الآخرين الذين يمكن لمستخدميك الاتصال بهم. يعمل العزل متعدد المستأجرين على حظر الاتصالات الواردة والصادرة لتطبيقات اللوحة وتدفقاتها.

يعني تقييد الاتصالات الصادرة أنه تم حظر اتصال مستخدم فِي المستأجر الخاص بك بشريك أو بمستأجر خارجي. يمكن تقييد الاتصالات الصادرة عبر المستأجرين باستخدام قيود المستأجر التي تنطبق على جميع تطبيقات السحابة Microsoft Entra ID التي يمكنها حظر الاتصالات الصادرة لتدفقات Power Apps وPower Automate.

لقطة شاشة لقيد متعدد المستأجرين صادر.

يعني تقييد الاتصالات الواردة أنه يتم حظر اتصال مستخدم فِي مستأجر شريك أو خارجي من إنشاء اتصال إلى المستأجر الخاص بك.

لقطة شاشة لقيد متعدد المستأجرين وارد.

هام

يتطلب تقييد الاتصالات متعددة المستأجرين الواردة تذكرة دعم. بعد ذلك، سيتم تطبيق هذا التقييد على تدفقات Power Apps وPower Automate فقط.

المساعدة على تأمين البيئات باستخدام مجموعات الأمان

افتراضياً، يمكن لمستخدم لديه ترخيص Power Apps الوصول إلى جميع البيئات الموجودة فِي مستأجر، وستتمكن من رؤية جميع المستخدمين المرخصين فِي جدول المستخدمين فِي بيئة معينة. يمكن استخدام مجموعات الأمان فِي Microsoft Entra ID للحد من الوصول إلى البيئات. وتتمتع هذه الميزة بفائدة إضافية تتمثل فِي الحفاظ على بساطة جدول المستخدم لمستخدمي البيئة فقط.

يمكن أن تقترن مجموعة الأمان ببيئة عند إنشاء البيئة، أو يمكن ربطها بالبيئة. في لقطة الشاشة التالية، تم إقران مجموعة أمان خاصة بالمطورين ببيئة التطوير.

لقطة شاشة لمستأجر مرتبط بمجموعة أمان.

توضح لقطة الشاشة السابقة أنه تمت مراعاة السلوك التالي:

  • عند إضافة مستخدمين إلى مجموعة الأمان، تتم إضافتهم إلى Dataverse كمستخدمين.
  • وعند إزالة مستخدمين من مجموعة الأمان، يتم تعطيلهم فِي Dataverse.
  • عند إقران مجموعة أمان ببيئة موجودة تحتوي على مستخدمين، سيتم تعطيل المستخدمين فِي البيئة الذين ليسوا أعضاءً فِي مجموعة الأمان.
  • وعندما لا تكون أي مجموعة أمان مقترنة ببيئة، سيتم إنشاء جميع المستخدمين الذين لديهم ترخيص Power Apps كمستخدمين وتمكينهم فِي البيئة.

ملاحظة

لا يمكن إقران مجموعات التوزيع ومجموعات Microsoft Office 365 ببيئات.

الأدوار وحسابات المسؤولين

تتطلب إدارة البيئات وتنفيذ بعض أنشطة الإدارة واحداً أو أكثر من الأدوار الإدارية التالية:

  • المسؤول العمومي - يتمتع المستخدم الذي لديه هذا الدور بوصول كامل للإدارة إلى جميع الخدمات فِي المستأجر. يتمتع المسؤولون العموميون بإمكانية الوصول إلى جميع بيئات Microsoft Power Platform، وستتم إضافتهم إلى جميع بيئات Dataverse باستخدام دور الأمان "مسؤول النظام".
  • مسؤول Microsoft Power Platform - يمكن لمستخدم لديه دور مسؤول Microsoft Power Platform إنشاء بيئات، وإدارة جميع البيئات (حتى فِي حالة عدم انتماء المستخدمين إلى مجموعة الأمان الخاصة بالبيئة) وإدارة Power Apps وإدارة Power Automate وإدارة سياسات تفادي فقدان البيانات. ويمكن أيضاً لمسؤول Microsoft Power Platform إدارة تذاكر الدعم ومراقبة سلامة الخدمة.
  • المسؤول المُفوض - تُستخدم الإدارة المُفوضة بواسطة شركاء برنامج Cloud Solution Provider ‏(CSP) من Microsoft لإدارة عملائهم عبر مدخل شركاء Microsoft. يتمتع المسؤول المُفوض بالإدارة الكاملة لجميع الخدمات الموجودة فِي مستأجر العميل.

ملاحظة

يتم إهمال دور مسؤول Microsoft Dynamics 365. يمكن لمستخدم لديه دور مسؤول Dynamics 365 إنشاء بيئات وإدارة بيئات، ولكن ذلك فقط إذا كان المستخدم ينتمي إلى مجموعة الأمان الخاصة بتلك البيئة. وسيحصل المستخدم الذي لديه دور مسؤول Dynamics 365 على دور أمان مسؤول النظام فِي تلك البيئات.

وهذه الأدوار ليست نفسها الخاصة بأدوار الأمان فِي بيئة معينة. يمكن تعيين دور فِي إحدى البيئات لمستخدمين غير إداريين. تختلف الأدوار التي يتم استخدامها، استناداً إلى ما إذا كانت البيئة تحتوي على قاعدة بيانات Dataverse أم لا.

رسم تخطيطي للمستأجر وأدوار أمان الوصول.

لا يُستخدَم دور مسؤول البيئة إلا فِي حالة عدم وجود قاعدة بيانات Dataverse. يمكن لمسؤول البيئة الخاص ببيئة معينة السماح للمستخدم بدور إضافة مستخدمين إلى دور "منشئ البيئة" وإزالتهم منه. ويتيح دور "منشئ البيئة" لمستخدم إنشاء تطبيقات فِي تلك البيئة.

عند إضافة قاعدة بيانات Dataverse إلى البيئة، يتم إعطاء دور أمان مسؤول النظام فِي قاعدة بيانات Dataverse لمستخدم لديه دور مسؤول البيئة؛ بينما يتم إعطاء دور أمان المستخدم الأساسي لمستخدم لديه دور "منشئ البيئة".