Bendrinti naudojant

Tapatybės ir prieigos valdymo rekomendacijos

Taikoma šiai **gerai suprojektuoto saugumo kontrolinio sąrašo** rekomendacijai: Power Platform

SE:05 Įdiekite griežtą, sąlyginį ir audituojamą tapatybės ir prieigos valdymą (IAM) visiems darbo krūvio vartotojams, komandos nariams ir sistemos komponentams. Apriboti prieigą tik prireikus. Visiems autentifikavimo ir autorizacijos diegimams naudokite šiuolaikinius pramonės standartus. Apribokite ir griežtai tikrinkite prieigą, kuri nėra pagrįsta tapatybe.

Šiame vadove aprašomos rekomendacijos, kaip autentifikuoti ir autorizuoti tapatybes, bandančias pasiekti jūsų darbo krūvio išteklius.

Techninės kontrolės požiūriu, tapatybė visada yra pagrindinis perimetras. Ši taikymo sritis apima ne tik jūsų darbo krūvio ribas. Tai taip pat apima atskirus komponentus, kurie yra jūsų darbo krūvio ribose.

Tipinės tapatybės apima:

  • Žmonės. Programų naudotojai, administratoriai, operatoriai, auditoriai ir piktavaliai veikėjai.
  • Sistemos. Darbo krūvio tapatybės, valdomos tapatybės, API raktai, paslaugų principai ir „Azure“ ištekliai.
  • Anonimas. Subjektai, kurie nepateikė jokių įrodymų apie tai, kas jie yra.

Apibrėžimai

Sąlygos Apibrėžtis
Autentifikavimas (AuthN) Procesas, kurio metu patvirtinama, kad tapatybė yra tas, kas arba kuo ji skelbiasi esanti.
Autorizacija (AuthZ) Procesas, kuris patikrina, ar tapatybė turi leidimą atlikti prašomą veiksmą.
Sąlyginė prieiga Taisyklių rinkinys, leidžiantis atlikti veiksmus pagal nurodytus kriterijus.
IdP Tapatybės teikėjas, pvz., **ID**. Microsoft Entra
Asmuo Pareigybės funkcija arba pareigos, apimančios pareigas ir veiksmus.
Iš anksto bendrinami raktai Paslapties tipas, kuriuo dalijasi paslaugų teikėjas ir vartotojas ir kuris naudojamas saugiu ir sutartu mechanizmu.
Išteklių tapatybė Platformos valdomiems debesies ištekliams apibrėžta tapatybė.
Role Leidimų rinkinys, apibrėžiantis, ką gali daryti vartotojas arba grupė.
Scope Skirtingi organizacinės hierarchijos lygiai, kuriuose leidžiama veikti vaidmeniui. Taip pat sistemos funkcijų grupė.
Saugos principas Tapatybė, suteikianti teises. Tai gali būti vartotojas, grupė arba pagrindinis paslaugos teikėjas. Visi grupės nariai gauna tą patį prieigos lygį.
Vartotojo tapatybė Asmens, pvz., darbuotojo ar išorinio vartotojo, tapatybė.
Darbo krūvio tapatybė Sistemos tapatybė, skirta programai, paslaugai, scenarijui, konteineriui ar kitam darbo krūvio komponentui, naudojama autentifikuotis kitose paslaugose ir ištekliuose.

Pastaba.

Tapatybę galima grupuoti su kitomis panašiomis tapatybėmis po tėviniu elementu, vadinamu **saugos principu**. Saugos grupė yra saugumo principo pavyzdys. Šis hierarchinis ryšys supaprastina priežiūrą ir pagerina nuoseklumą. Kadangi tapatybės atributai nėra tvarkomi individualiu lygmeniu, klaidų tikimybė taip pat sumažėja. Šiame straipsnyje terminas **tapatybė** apima ir saugumo principus.

Microsoft Entra ID kaip tapatybės teikėjas Power Platform

Visuose **produktuose** tapatybės ir prieigos valdymui naudojamas **ID** (anksčiau **arba **a17> Power Platform ). Microsoft Entra Azure Active Directory Azure AD „Entra ID“ leidžia organizacijoms apsaugoti ir valdyti tapatybę savo hibridinėse ir daugiadebesėse aplinkose. „Entra ID“ taip pat būtinas valdant verslo svečius, kuriems reikalinga prieiga prie išteklių. Power Platform Power Platform taip pat naudoja „Entra ID“, kad valdytų kitas programas, kurias reikia integruoti su API, naudojant pagrindinės paslaugos galimybes. Power Platform Naudodami „Entra ID“, galite pasinaudoti pažangesnėmis „Entra ID“ saugumo funkcijomis, tokiomis kaip sąlyginė prieiga ir nuolatinis prieigos vertinimas. Power Platform

Autentifikavimas

Autentifikavimas yra procesas, kurio metu patvirtinama tapatybė. Prašančioji tapatybė turi pateikti tam tikrą patikrinamą asmens tapatybės dokumentą. Pavyzdys.

  • Vartotojo vardas ir slaptažodis.
  • Iš anksto bendrinamas slaptasis raktas, pvz., API raktas, suteikiantis prieigą.
  • Bendro prieigos parašo (SAS) prieigos raktas.
  • Sertifikatas, naudojamas abipusiame transporto sluoksnio saugumo (TLS) autentifikavime.

„Power Platform“ autentifikavimas apima užklausų, atsakų ir peradresavimų tarp vartotojo naršyklės ir „Power Platform“ arba „Azure“ tarnybų seką. Seka atitinka Microsoft Entra ID autentifikavimo kodo suteikimo srautą.

Prisijungimas prie duomenų šaltinio ir jo autentifikavimas atliekamas atskirai nuo Power Platform paslaugos autentifikavimo. Daugiau informacijos žr. Prisijungimas prie duomenų šaltinių ir autentifikavimas.

Autorizavimas

Power Platform Visiems API skambučiams autorizuoti su pramonės standartu atitinkančiu 2.0 protokolu naudoja **ID** „Microsoft Identity Platform**. Microsoft Entra OAuth

Pagrindinės projektavimo strategijos

Norint suprasti darbo krūvio tapatybės poreikius, reikia išvardyti vartotojų ir sistemos srautus, darbo krūvio išteklius ir personas bei veiksmus, kurių jie atliks.

Kiekvienas naudojimo atvejis tikriausiai turės savo valdiklių rinkinį, kurį reikia sukurti laikantis prielaidos apie pažeidimą požiūrio. Remiantis naudojimo atvejo arba asmenų tapatybės reikalavimais, nustatykite sąlyginius pasirinkimus. Venkite naudoti vieną sprendimą visiems atvejams. Ir atvirkščiai, kontrolė neturėtų būti tokia detali, kad sukeltų nereikalingų valdymo išlaidų.

Reikia užregistruoti tapatybės prieigos pėdsaką. Tai padeda patvirtinti valdiklius, o žurnalus galite naudoti atitikties auditams.

Nustatykite visas tapatybes autentifikavimui

Įėjimas iš lauko į vidų. „Power Platform“ autentifikavimas apima užklausų, atsakų ir peradresavimų tarp vartotojo naršyklės ir „Power Platform“ arba „Azure“ tarnybų seką. Seka atitinka Microsoft Entra ID autentifikavimo kodo suteikimo srautą. Power Platform automatiškai autentifikuoja visus vartotojus, kurie įvairiais tikslais pasiekia darbo krūvį.

Prieiga iš vidaus į išorę. Jūsų darbo krūviui reikės prieigos prie kitų išteklių. Pavyzdžiui, skaitymas iš duomenų platformos arba rašymas į ją, paslapčių gavimas iš slaptų duomenų saugyklos ir telemetrijos registravimas stebėjimo paslaugose. Gali tekti net prisijungti prie trečiųjų šalių paslaugų. Tai visi darbo krūvio tapatybės reikalavimai. Tačiau taip pat reikia atsižvelgti į išteklių tapatybės reikalavimus, pavyzdžiui, kaip veiks ir bus autentifikuojami diegimo srautai.

Nustatykite veiksmus autorizacijai gauti

Toliau reikia žinoti, ką bando atlikti kiekviena patvirtinta tapatybė, kad šie veiksmai būtų autorizuoti. Veiksmus galima suskirstyti pagal jiems reikalingos prieigos tipą:

  • Prieiga prie duomenų plokštumos. Duomenų plokštumoje vykstantys veiksmai sukelia duomenų perdavimą. Pavyzdžiui, programa skaito arba rašo duomenis iš Microsoft Dataverse arba rašo žurnalus į Application Insights.

  • Kontroliuoti prieigą prie lėktuvo. Valdymo plokštumoje atliekami veiksmai sukuria, modifikuoja arba ištrina **resursą**. Power Platform Pavyzdžiui, aplinkos ypatybių modifikavimas arba duomenų politikos kūrimas.

Programos paprastai yra skirtos duomenų plokštumos operacijoms, o operacijos dažnai pasiekia ir valdymo, ir duomenų plokštumas.

Suteikti vaidmenimis pagrįstą autorizavimą

Remiantis kiekvienos tapatybės atsakomybe, autorizuokite veiksmus, kurie turėtų būti leidžiami. Tapatybei negalima leisti daryti daugiau, nei jai reikia. Prieš nustatydami autorizacijos taisykles, turite aiškiai suprasti, kas teikia užklausas, ką tas vaidmuo gali daryti ir kokiu mastu jis gali tai daryti. Šie veiksniai lemia pasirinkimus, kurie apjungia tapatybę, vaidmenį ir veiklos sritį.

Atsižvelkite į toliau nurodytus dalykus.

  • Ar darbo krūviui reikalinga prieiga prie duomenų plokštumos Dataverse tiek skaitymo, tiek rašymo prieigai?
  • Ar darbo krūviui taip pat reikia prieigos prie aplinkos ypatybių?
  • Jei tapatybę pažeidžia netinkamas veikėjas, koks būtų poveikis sistemai konfidencialumo, vientisumo ir prieinamumo požiūriu?
  • Ar darbo krūviui reikalinga nuolatinė prieiga, ar galima apsvarstyti sąlyginę prieigą?
  • Ar darbo krūvis atlieka veiksmus, kuriems reikalingos administratoriaus / padidintos teisės?
  • Kaip darbo krūvis sąveikaus su trečiųjų šalių paslaugomis?
  • Ar taikomi vienkartinio prisijungimo (SSO) reikalavimai išmaniųjų programų, tokių kaip agentai, darbo krūviams?
  • Ar agentas veikia neautentifikuotu režimu, autentifikuotu režimu ar abiem?

Vaidmens priskyrimas

Rolė – tai **teisių** rinkinys, **priskirtas tapatybei**. Priskirkite vaidmenis, kurie leistų tapatybei atlikti tik užduotį ir ne daugiau. Kai vartotojo teisės apribojamos iki jo darbo reikalavimų, sistemoje lengviau nustatyti įtartiną ar neleistiną elgesį.

Užduokite tokius klausimus:

  • Ar pakanka tik skaitymo prieigos?
  • Ar tapatybei reikia leidimų ištekliams naikinti?
  • Ar vaidmeniui reikalinga prieiga tik prie jų sukurtų įrašų?
  • Ar reikalinga hierarchinė prieiga, pagrįsta verslo padaliniu, kuriame yra vartotojas?
  • Ar vaidmeniui reikalingos administratoriaus arba padidintos teisės?
  • Ar vaidmeniui reikalinga nuolatinė prieiga prie šių leidimų?
  • Kas nutinka, jei vartotojas pakeičia darbą?

Apribojus vartotojų, programų ar paslaugų prieigos lygį, sumažėja galima atakų rizika. Jei suteikiate tik minimalius leidimus, reikalingus konkrečioms užduotims atlikti, sėkmingos atakos ar neteisėtos prieigos rizika gerokai sumažėja. Pavyzdžiui, kūrėjams reikia tik kūrėjo prieigos prie kūrimo aplinkos, bet ne prie gamybos aplinkos; jiems reikia prieigos tik ištekliams kurti, bet ne aplinkos ypatybėms keisti; ir jiems gali reikėti prieigos tik skaityti / rašyti duomenis iš Dataverse , bet ne keisti Dataverse lentelės duomenų modelio ar atributų.

Venkite leidimų, skirtų individualiems vartotojams. Išsamios ir tinkintos teisės sukelia sudėtingumo ir painiavos, todėl jas gali būti sunku prižiūrėti, kai vartotojai keičia vaidmenis ir juda kitur įmonėje arba kai prie komandos prisijungia nauji vartotojai su panašiais autentifikavimo reikalavimais. Dėl šios situacijos gali susidaryti sudėtinga pasenusi konfigūracija, kurią sunku prižiūrėti ir kuri neigiamai paveiktų tiek saugumą, tiek patikimumą.

Kompromisas: detalus prieigos kontrolės metodas leidžia geriau audituoti ir stebėti naudotojų veiklą.

Suteikite vaidmenis, pradedant nuo mažiausiai teisių, ir pridėkite daugiau, atsižvelgdami į savo veiklos ar prieigos prie duomenų poreikius. Jūsų techninės komandos turi turėti aiškias gaires, kaip įdiegti leidimus.

Pasirinkite sąlyginę prieigą

Nesuteikite visoms tapatybėms vienodo prieigos lygio. Savo sprendimus grindžkite dviem pagrindiniais veiksniais:

  • Laikas. Kiek laiko tapatybė gali pasiekti jūsų aplinką.
  • Privilegija. Leidimų lygis.

Tie veiksniai nėra vienas kito paneigiantys. Pažeista tapatybė, turinti daugiau privilegijų ir neribotą prieigos trukmę, gali įgyti daugiau sistemos ir duomenų kontrolės arba naudoti tą prieigą aplinkai keisti. Apribokite šiuos prieigos veiksnius tiek kaip prevencinę priemonę, tiek norėdami kontroliuoti sprogimo spindulį.

„Just in Time“ (JIT) metodai suteikia reikiamas teises tik tada, kai jų reikia.

„Just Enough Access“ (JEA) suteikia tik reikiamas teises.

Nors laikas ir privilegijos yra pagrindiniai veiksniai, yra ir kitų sąlygų. Pavyzdžiui, politikai nustatyti taip pat galite naudoti įrenginį, tinklą ir vietą, iš kurios buvo gauta prieiga.

Naudokite griežtus valdiklius, kurie filtruoja, aptinka ir blokuoja neteisėtą prieigą, įskaitant tokius parametrus kaip vartotojo tapatybė ir vieta, įrenginio būklė, darbo krūvio kontekstas, duomenų klasifikavimas ir anomalijos.

Pavyzdžiui, prie jūsų darbo krūvio gali reikėti prisijungti trečiųjų šalių tapatybėms, pvz., tiekėjams, partneriams ir klientams. Jiems reikia atitinkamo prieigos lygio, o ne numatytųjų leidimų, kuriuos suteikiate visą darbo dieną dirbantiems darbuotojams. Aiškus išorinių paskyrų atskyrimas leidžia lengviau užkirsti kelią ir aptikti iš šių vektorių kylančias atakas.

Svarbios įtakos sąskaitos

Administracinės tapatybės kelia vieną didžiausių saugumo rizikų, nes jų atliekamoms užduotims reikalinga privilegijuota prieiga prie daugybės šių sistemų ir programų. Kompromitacija ar netinkamas naudojimas gali turėti neigiamos įtakos jūsų verslui ir jo informacinėms sistemoms. Administracijos saugumas yra viena iš svarbiausių saugumo sričių.

Norint apsaugoti privilegijuotą prieigą nuo ryžtingų priešininkų, reikia taikyti visapusišką ir apgalvotą požiūrį, kad šios sistemos būtų izoliuotos nuo rizikų. Štai keletas strategijų:

  • Sumažinkite kritinio poveikio paskyrų skaičių.

  • Naudokite atskirus vaidmenis užuot suteikus didesnes privilegijas esamoms tapatybėms.

  • Venkite nuolatinės ar stovimos prieigos naudodami savo IdP JIT funkcijas. Stiklo dūžio atveju laikykitės avarinio patekimo tvarkos.

  • Naudokite modernius prieigos protokolus pavyzdžiui, autentifikavimas be slaptažodžio arba daugiafaktorinis autentifikavimas. Perduokite šiuos mechanizmus savo IdP.

  • Įgalinkite pagrindinius saugos atributus naudodami sąlyginės prieigos politikos.

  • Administracinių paskyrų išmontavimas kurie nėra naudojami.

Sukurti procesus tapatybės gyvavimo ciklui valdyti

Prieiga prie tapatybių neturi trukti ilgiau nei ištekliai, prie kurių tos tapatybės gali prisijungti. Įsitikinkite, kad turite tapatybių išjungimo arba naikinimo procesą, kai pasikeičia komandos struktūra arba programinės įrangos komponentai.

Šios gairės taikomos šaltinio valdymui, duomenims, valdymo plokštumoms, darbo krūvio naudotojams, infrastruktūrai, įrankiams, duomenų stebėjimui, žurnalams, metrikai ir kitiems objektams.

Nustatykite tapatybės valdymo procesą , kad galėtumėte valdyti skaitmeninių tapatybių, privilegijuotų vartotojų, išorinių / kviestinių vartotojų ir darbo krūvio vartotojų gyvavimo ciklą. Įdiekite prieigos peržiūras, kad užtikrintumėte, jog tapatybėms išėjus iš organizacijos ar komandos, jų darbo krūvio teisės būtų pašalintos.

Apsaugokite neidentity pagrįstas paslaptis

Programos paslaptys, tokios kaip iš anksto bendrinami raktai, turėtų būti laikomos pažeidžiamais sistemos taškais. Dvipusio ryšio atveju, jei paslaugų teikėjui ar vartotojui kyla pavojus, gali kilti didelė saugumo rizika. Tie raktai taip pat gali būti našta, nes jais įvedami veiklos procesai.

Traktuokite šias paslaptis kaip subjektus, kuriuos galima dinamiškai ištraukti iš slaptos parduotuvės. Jie neturėtų būti užkoduoti jūsų programose, srautuose, diegimo srautuose ar bet kuriame kitame artefakte.

Įsitikinkite, kad turite galimybę atšaukti paslaptis.

Taikykite veiklos praktiką, kuri tvarko tokias užduotis kaip raktų pasukimas ir galiojimo pabaiga.

Informacijos apie pasukimo strategijas ieškokite Išteklių, turinčių du autentifikavimo kredencialų rinkinius , paslapties pasukimo automatizavimas ir Mokymo programa: sertifikato automatinio pasukimo dažnio naujinimas "Key Vault".

Užtikrinkite saugią kūrimo aplinką

Rašymo prieiga prie kūrėjų aplinkų turėtų būti apsaugota, o skaitymo prieiga prie šaltinio kodo turėtų būti apribota vaidmenimis, kuriuos reikia žinoti. Turėtumėte turėti procesą, kuris reguliariai nuskaitytų išteklius ir nustatytų naujausius pažeidžiamumus.

Audito sekos išlaikymas

Vienas iš tapatybės valdymo aspektų yra užtikrinimas, kad sistemą būtų galima patikrinti. Auditais patvirtinama, ar prielaidų pažeidimo strategijos yra veiksmingos. Audito sekos palaikymas padeda:

  • Patikrinkite, ar tapatybė autentifikuota naudojant griežtą autentifikavimą. Bet koks veiksmas turi būti atsekamas , kad būtų išvengta išsižadėjimo atakų.

  • Aptikite silpnus arba trūkstamus autentifikavimo protokolus ir gaukite informacijos bei įžvalgų apie vartotojų ir programų prisijungimus.

  • Įvertinkite tapatybių prieigą prie darbo krūvio pagal saugos ir atitikties reikalavimus ir apsvarstykite vartotojo abonemento riziką, įrenginio būseną ir kitus nustatytus kriterijus bei strategijas.

  • Sekti eigą arba nukrypimą nuo atitikties reikalavimų.

Dauguma išteklių turi prieigą prie duomenų plokštumos. Turite žinoti tapatybes, kurios pasiekia išteklius, ir jų atliekamus veiksmus. Šią informaciją galite naudoti saugos diagnostikai.

Power Platform Palengvinimo

Power Platform Prieigos kontrolė yra gyvybiškai svarbi jos bendros saugumo architektūros dalis. Prieigos kontrolės taškai gali užtikrinti, kad tinkami vartotojai gauna prieigą prie Power Platform išteklių. Šiame skyriuje išnagrinėsime skirtingus prieigos taškus, kuriuos galite konfigūruoti, ir jų vaidmenį bendroje saugos strategijoje.

Microsoft Entra ID

Visuose **produktuose** tapatybės ir prieigos valdymui naudojamas **ID** (anksčiau **arba **a17> Power Platform ). Microsoft Entra Azure Active Directory Azure AD „Entra ID“ leidžia organizacijoms apsaugoti ir valdyti tapatybę savo hibridinėse ir daugiadebesėse aplinkose. "Entra ID" taip pat labai svarbus valdant verslo svečius, kuriems reikia prieigos prie Power Platform išteklių. Power Platform taip pat naudoja „Entra ID“, kad valdytų kitas programas, kurias reikia integruoti su API, naudojant pagrindinės paslaugos galimybes. Power Platform Naudodamas "Entra ID", jis Power Platform gali panaudoti "Entra ID" pažangesnes saugos funkcijas, tokias kaip sąlyginė prieiga ir nuolatinės prieigos vertinimas.

Debesų kompiuterijos sistemos diagrama.

Licencijos priskyrimas

Prieiga prie „Power Apps” ir „Power Automate” prasideda nuo licencijos turėjimo. Ištekliai ir duomenys, kuriuos vartotojas gali pasiekti, nustatomi pagal jo turimos licencijos tipą. Šioje lentelėje pateikiami aukšto lygio vartotojui prieinamų išteklių skirtumai pagal plano tipą. Išsamią licencijavimo informaciją galima rasti licencijavimo apžvalgoje.

Sąlyginės prieigos strategijos

Sąlyginė prieiga aprašo jūsų sprendimo dėl prieigos strategiją . Norėdami naudoti sąlyginę prieigą, turite suprasti apribojimus, kurių reikia naudojimo atveju. Konfigūruokite Microsoft Entra sąlyginę prieigą nustatydami prieigos strategiją, pagrįstą jūsų veiklos poreikiais.

Norėdami gauti daugiau informacijos žr.:

Nuolatinė prieiga

Nuolatinė prieiga pagreitėja, kai įvertinami tam tikri įvykiai, siekiant nustatyti, ar prieiga turėtų būti atšaukta. Tradiciškai, naudojant OAuth 2.0 autentifikavimą, prieigos atpažinimo ženklo galiojimo laikas baigiasi, kai patikrinimas atliekamas žetono atnaujinimo metu. Naudojant nuolatinę prieigą, vartotojo kritiniai įvykiai ir tinklo vietos pakeitimai nuolat vertinami, siekiant nustatyti, ar vartotojas vis tiek turėtų išlaikyti prieigą. Dėl šių vertinimų aktyvūs seansai gali būti nutraukti anksčiau laiko arba gali prireikti pakartotinio autentifikavimo. Pavyzdžiui, jei vartotojo paskyra išjungta, jie turėtų prarasti prieigą prie programos. Vieta taip pat yra svarbi; Pavyzdžiui, atpažinimo ženklas galėjo būti autorizuotas iš patikimos vietos, bet vartotojas pakeitė ryšį su nepatikimu tinklu. Nuolatinė prieiga iškviestų sąlyginės prieigos strategijos įvertinimą, o vartotojas prarastų prieigą, nes nebejungiasi iš patvirtintos vietos.

Šiuo metu su Power Platform palaiko tik Dataverse nuolatinį prieigos vertinimą. "Microsoft" stengiasi įtraukti palaikymą į kitas Power Platform paslaugas ir klientus. Daugiau informacijos rasite Nuolatinės prieigos vertinimas.

Nuolat taikant hibridinio darbo modelius ir naudojant debesų kompiuterijos programas, "Entra ID" tapo esminiu pirminiu saugumo perimetru siekiant apsaugoti vartotojus ir išteklius. Sąlyginė prieiga išplečia tą perimetrą už tinklo perimetro ribų, kad apimtų vartotojo ir įrenginio tapatybę. Nuolatinė prieiga užtikrina, kad keičiantis įvykiams ar naudotojų vietoms, prieiga būtų iš naujo įvertinta. Power Platform"Entra ID" naudojimas leidžia įdiegti organizacijos lygio saugos valdymą, kurį galite nuosekliai taikyti visame savo programų portfelyje. Peržiūrėkite šiuos geriausios tapatybės valdymo praktikos pavyzdžius , kad gautumėte daugiau patarimų, kaip sukurti savo planą, kaip naudoti "Entra ID" su "" Power Platform.

Grupės prieigos valdymas

Užuot suteikę teises konkretiems vartotojams, priskirkite prieigą ID grupėms Microsoft Entra . Jei grupės nėra, dirbkite su savo tapatybės komanda, kad ją sukurtumėte. Tada galite įtraukti ir pašalinti grupės narius už "Azure" ribų ir įsitikinti, kad teisės yra galiojančios. Grupę taip pat galite naudoti kitiems tikslams, pvz., adresų sąrašams.

Daugiau informacijos ieškokite Saugios prieigos valdymas naudojant ID grupes Microsoft Entra .

Spragų aptikimas

Microsoft Entra ID apsauga gali padėti aptikti, ištirti ir pašalinti tapatybe pagrįstą riziką. Norėdami gauti daugiau informacijos, žiūrėkite Kas yra tapatybės apsauga?.

Grėsmės aptikimas gali būti atliekamas reaguojant į įspėjimą apie įtartiną veiklą arba aktyviai ieškant neįprastų įvykių veiklos žurnaluose. Vartotojo ir subjekto elgsenos analizė (UEBA) programoje "Microsoft Sentinel" leidžia lengvai aptikti įtartiną veiklą. Daugiau informacijos ieškokite Išplėstinių grėsmių identifikavimas naudojant UEBA programoje "Microsoft Sentinel".

Tapatybės registravimas

Power Apps, Power Automate, Copilot Studio, Jungčių ir duomenų praradimo prevencijos veiklos registravimas sekamas ir peržiūrimas iš "Microsoft Purview" atitikties portalo. Daugiau informacijos žr. Sužinokite apie „Microsoft Purview“.

Registruoja keitimus, atliktus kliento įrašuose aplinkoje, kurioje yra duomenų bazė. Dataverse Dataverse Tikrinimas taip pat registruoja vartotojo prieigą per programą arba SDK aplinkoje. Šis tikrinimas įjungtas aplinkos lygiu, o atskiroms lentelėms ir stulpeliams reikalinga papildoma konfigūracija.

Tarnybos administratoriaus vaidmenys

"Entra ID" yra iš anksto nustatytų vaidmenų rinkinys, kurį galima priskirti administratoriams, kad jie galėtų atlikti administravimo užduotis. Galite peržiūrėti teisių matricą , kad gautumėte išsamų kiekvieno vaidmens teisių suskirstymą.

Naudokite Microsoft Entra privilegijuotų tapatybių valdymą (PIM), kad galėtumėte valdyti aukšto lygio administratoriaus vaidmenis Power Platform administravimo centre.

Duomenų apsauga Dataverse

Viena iš pagrindinių savybių Dataverse yra turtingas saugos modelis, kuris gali prisitaikyti prie daugelio verslo naudojimo scenarijų. Šis saugos modelis galimas tik tada, Dataverse kai duomenų bazė yra aplinkoje. Kaip saugos specialistas, greičiausiai pats nesukursite viso saugos modelio, bet galite dalyvauti užtikrinant, kad saugos funkcijų naudojimas atitiktų organizacijos duomenų saugos reikalavimus. „Dataverse“ naudoja vaidmenimis pagrįstą saugą, kad sugrupuotų teisių rinkinį. Šie saugos vaidmenys gali būti tiesiogiai susieti su vartotojais arba juos galima susieti su „Dataverse“ komandomis ir verslo vienetais. Daugiau informacijos žr. Saugumo sąvokos Microsoft Dataverse.

Konfigūruokite vartotojo autentifikavimą Copilot Studio

Microsoft Copilot Studio Palaiko keletą autentifikavimo parinkčių. Pasirinkite tą, kuris atitinka jūsų poreikius. Autentifikavimas leidžia vartotojams prisijungti, taip suteikiant jūsų agentui prieigą prie ribotų išteklių ar informacijos. Naudotojai gali prisijungti naudodami Microsoft Entra ID arba bet kurį OAuth 2.0 tapatybės teikėją, pvz., "Google" arba Facebook. Sužinokite daugiau skyriuje Vartotojo autentifikavimo konfigūravimas Copilot Studio.

Naudodami Direct Line pagrįstą saugą, galite apriboti prieigą prie savo valdomų vietų, įgalindami saugią prieigą naudojant Direct Line paslaptis arba atpažinimo ženklus.

Copilot Studio palaiko bendrąją autentifikaciją (SSO), o tai reiškia, kad agentai gali prisijungti prie vartotojo. SSO turi būti įdiegtas jūsų tinklalapiuose ir mobiliosiose programose. į Microsoft Teams SSO yra sklandus, jei pasirinksite autentifikavimo parinktį "Tik Teams". Jis taip pat gali būti sukonfigūruotas rankiniu būdu naudojant Azure AD v2; tačiau šiuo atveju Teams programa turi būti įdiegta kaip ZIP failas, o ne per 1 paspaudimo Teams diegimą iš Copilot Studio.

Sužinokite daugiau:

Saugiai pasiekite duomenis naudodami "Customer Lockbox"

Daugumai operacijų, palaikymo ir trikčių šalinimo, kuriuos atlieka „Microsoft“ darbuotojai (įskaitant antrinius tvarkytojus), nereikia prieigos prie klientų duomenų. Naudodami „Power Platform“ apsaugotąją kliento saugyklą, suteikiame klientams sąsają peržiūrėti ir patvirtinti (arba atmesti) duomenų prieigos užklausas tais retais atvejais, kai reikalinga duomenų prieiga prie klientų duomenų. Pavyzdžiui, jis naudojamas, kai "Microsoft" inžinieriui reikia pasiekti klientų duomenis, reaguojant į kliento inicijuotą palaikymo kvitą arba "Microsoft" nustatytą problemą. Daugiau informacijos žr. skyriuje Saugi prieiga prie klientų duomenų naudojant „Customer Lockbox“ sistemoje Power Platform ir „Dynamics 365“.

Kontrolinis saugos sąrašas

Žr. visą rekomendacijų rinkinį.

Kontrolinis saugos sąrašas