הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
[מאמר זה הוא תיעוד קדם-הפצה והוא עשוי להשתנות.]
בקרת גישה מבוססת תפקיד (RBAC) במרכז הניהול של Microsoft Power Platform היא מודל אבטחה שנועד לעזור לארגונים לקבוע מי יכול לעשות מה בכל משאבי Power Platform שלהם בביטחון ובגמישות. Power Platform RBAC מספק גישה מודרנית לגישה לניהול, כך שיהיה קל יותר להקצות ולאכוף הרשאות עבור משתמשים, קבוצות ואוטומציה של תוכנה.
חשוב
- זוהי תכונת Preview.
- תכונות Preview אינן מיועדות לשימוש בייצור וייתכן שיש להן פונקציונליות מוגבלת. תכונות אלה כפופות לתנאי שימוש נוספים, והן זמינות לפני מהדורה רשמית כדי שלקוחות יוכלו לקבל גישה מוקדמת ולספק משוב.
עם Power Platform RBAC, מנהלי מערכת יכולים:
- ציין למי יש גישה למשאבים ספציפיים.
- החלט אילו פעולות יוכלו המשתמשים לבצע, כגון יצירה, ניהול או הצגה.
- הקצה הרשאות ברמות שונות: ארגון (דייר), קבוצות סביבה וסביבות בודדות.
RBAC פועל בשכבת ה- API של Power Platform, המייצגת שליטה ניהולית על משאבים, בעוד ש- Dataverse ממשיכה לספק RBAC בסיסי משלה עבור נתונים עסקיים בתוך בסביבות.
הערה
בשלב זה, RBAC מתמקד בהרחבת תמיכת מנהל השירות ובתמיכת הזהויות המנוהלת ב- API של Power Platform ובערכות ה- SDK השונות לניהול. הרשאות קריאה בלבד וכן הרשאות קריאה וכתיבה שהוקצו בטווחים בהמשך לדייר כולו עבור חוויית המשתמש של מרכז הניהול של Power Platform נמצאים במפת הדרכים אך עדיין לא הושלמו.
היתרונות של Power Platform RBAC
- גישה פרטנית: הקצה תפקידים בדייר, בקבוצת הסביבה או ברמות הסביבה כדי לשלוט בצורה מדויקת.
- תפקידים מוכללים: השתמש בתפקידי ברירת מחדל (כגון 'מנהל סביבה' ו'יוצר הסביבה') כדי ליישר קו עם מדיניות הגישה של הארגון שלך.
- הגדרת טווח גמישה: ניתן להחיל תפקידים ברמות רחבות או צרות בהתאם לצרכים התפעוליים.
- ירושה: הקצאות ברמה עליונה יותר - לדוגמה, מערכת - עוברות בירושה לטווחים נמוכים יותר, כגון קבוצות סביבה וסביבות.
מושגי מפתח
מנהלי אבטחה
מנהל אבטחה הוא ישות ב- Microsoft Entra ID שניתן להעניק לה גישה באמצעות הקצאות תפקידים של RBAC. גורמי אבטחה נתמכים כוללים:
- ראשי משתמשים: משתמשים אנושיים במזהה Microsoft Entra, המשתמשים בכתובת הדואר האלקטרוני שלהם.
- קבוצות: קבוצות המותאמות לאבטחה במזהה Microsoft Entra, באמצעות מזהה הקבוצה שלהן.
- מנהלים של שירות/זהויות מנוהלות: רישומי יישומים במזהה Microsoft Entra, וכן זהויות מנוהלות המוגדרות על-ידי המערכת והמשתמש. הוקצתה באמצעות זהות האובייקטים הארגוניים המתאימים שלהם.
טווח
זוהי רמת ההירארכיה שבה נוצרת הקצאה.
- דייר: הרשאות רחבות בכל קבוצות הסביבה והסביבות.
- קבוצת סביבה: קיבוץ לוגי של בסביבות לניהול קולקטיבי. הרשאות חלות על כל הסביבות בקבוצה.
- סביבה: סביבת עבודה בודדת עבור יישומים, סוכנים, נתונים ואוטומציה. ההרשאות חלות על כל המשאבים בסביבה מסוימת זו.
הקצאות ברמות היקף רחבות יותר מספקות הרשאות בירושה ברמות נמוכות יותר, אלא אם כן נקבע אחרת באופן ספציפי.
הקצאת תפקיד
הקצאות תפקידים הן קישורים בין מנהל אבטחה, הגדרת תפקיד מוכללת ו טווח. הקצאות לדוגמה כוללות העברת ניהול של קבוצת סביבה שלמה לאחר או לזהות מנוהלת, ובכך לאפשר ל-IT מרכזי לפנות זמן לניהול שאר משאבי הדייר.
ניהול RBAC ב- Power Platform
ניתן לנהל הקצאות RBAC באמצעות ממשקי API ו- SDK של Power Platform. ממשקי API ו- SDK אלה מספקים אפשרויות תיכנותיות לניהול תפקידים, המתאימים לאוטומציה ולשילוב בארגונים גדולים יותר. לקבלת הדרכה שלב אחר שלב, ראה ערכת לימוד: הקצאת תפקידים למנהלי שירות.
אחסון ומהימנות של נתונים
הגדרות תפקידים ומטלות מאוחסנות באופן מאובטח ורכז עבור הדייר שלך ומסונכרנות באופן אזורי כדי להבטיח אכיפה מהימנה וגישה גלובלית.
הגדרות תפקיד
הגדרות תפקיד הן אוספים של הרשאות המתארות אילו פעולות מותרות. טווחים הניתנים להקצאה נקבעים על-ידי כל תפקיד מוכלל. לקוחות לא יכולים להתאים אישית או לשנות תפקידים.
תפקידים מוכללים ב- Power Platform
התפקידים המוכללים הבאים זמינים להקצאה למשתמשים, לקבוצות ולמנהלי שירות ב- Power Platform RBAC:
| שם התפקיד | מזהה תפקיד | טווח ניתן להקצאה | הרשאות |
|---|---|---|---|
| מנהל בקרת גישה מבוסס תפקידים של Power Platform | 95e94555-018c-447b-8691-bdac8e12211e | /דיירים/{0} | כל ההרשאות המסתיימות ב-.Read, Authorization.RoleAssignments.Write, Authorization.RoleAssignments.Delete |
| קורא של פאוור פלטפורם | c886ad2e-27f7-4874-8381-5849b8d8a090 | /דיירים/{0} | כל ההרשאות המסתיים ב- . לקרוא |
| משתתף ב- Power Platform | ff954d61-a89a-4fbe-ace9-01c367b89f87 | /דיירים/{0} | יכול לנהל ולקרוא את כל המשאבים, אך לא לבצע או לשנות הקצאות תפקידים |
| בעלים של Power Platform | 0cb07c69-1631-4725-ab35-e59e001c51ea | /דיירים/{0} | כל ההרשאות |
לקבלת חומר עזר מפורט בנושא הרשאות, תפקידים ושילוב, ראה חומר עזר בנושא API של Power Platform. כדי ללמוד כיצד להקצות תפקידים אלה באופן תוכניתי, ראה ערכת לימוד: הקצאת תפקידים למנהלי שירות.