Piezīmes
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt pierakstīties vai mainīt direktorijus.
Lai piekļūtu šai lapai, ir nepieciešama autorizācija. Varat mēģināt mainīt direktorijus.
Piekļuves pārvaldība sensitīvai informācijai un resursiem ir ļoti svarīga IT administratoriem un galvenajiem informācijas drošības speciālistiem (CISO) visās nozarēs. Lai saglabātu spēcīgu drošību, ir būtiski nodrošināt vismazāko privilēģiju piekļuvi.
Power Platform Integrējas ar Microsoft Entra ID identitātes un piekļuves pārvaldībai, ļaujot administratoriem droši pārvaldīt lietotājus un viņu mijiedarbību ar Power Platform resursiem. Microsoft Entra ID ir Microsoft autentifikācijas centrā un palīdz aizsargāt pret identitātes apdraudēšanu. Microsoft Entra ID nodrošina IT administratoriem redzamību un kontroli, kā arī piedāvā drošības iespējas, piemēram, daudzfaktoru autentifikāciju un nosacītu piekļuvi. Pārvaldītā drošība nodrošina iespējas, kas balstītas uz Microsoft Entra ID, nodrošinot administratoriem detalizētu kontroli, lai nodrošinātu, ka tikai autorizēti lietotāji piekļūst datiem un resursiem.
Šajā rakstā ir izskaidrotas identitātes un piekļuves pārvaldības vadīklas katrā slānī.
Nomnieka piekļuve
Nomnieka līmeņa piekļuve ir pirmais drošības slānis, un tā izmanto Microsoft Entra ID. Tas nodrošina, ka lietotājiem ir aktīvs lietotāja konts un viņi ievēro visas nosacītās piekļuves politikas, lai pieteiktos. Tomēr aktīvs un iespējots konts vien nepiešķir piekļuvi platformai. Tikai lietotāji ar atbilstošām licencēm var autentificēties un izmantot platformu.
Pakalpojuma administratora lomas
Varat piešķirt divas Power Platform saistītās pakalpojuma administratora lomas, lai nodrošinātu augsta līmeņa administratora pārvaldību.
- Power Platform administrators: šī loma var veikt visas administratora Power Platform funkcijas neatkarīgi no drošības grupas dalības vides līmenī.
- Dynamics 365 administrators: šī loma var veikt lielāko daļu administratora funkciju Power Platform, bet tikai vidēs, kurās tā pieder drošības grupai.
Šīs lomas nevar pārvaldīt lietotāju kontus, abonementus un piekļuves iestatījumus citām Microsoft 365 lietotnēm. Lai veiktu šos uzdevumus, jums ir jāsadarbojas ar citiem organizācijas administratoriem. Lai iegūtu papildinformāciju par katras lomas atļaujām, pārskatiet pakalpojuma administratora atļauju matricu.
Administratīvās identitātes rada būtiskus drošības riskus, jo to uzdevumiem ir nepieciešama priviliģēta piekļuve daudzām sistēmām un lietojumprogrammām. Kompromitēšana vai ļaunprātīga izmantošana var kaitēt jūsu uzņēmumam un tā informācijas sistēmām. Administrācijas drošība ir viena no kritiskākajām drošības jomām.
Priviliģētas piekļuves aizsardzībai pret noteiktiem pretiniekiem ir nepieciešama pilnīga un pārdomāta pieeja, lai izolētu sistēmas no riskiem. Šeit ir dažas stratēģijas:
- Samaziniet kritiskās ietekmes kontu skaitu.
- Izmantojiet atsevišķas lomas, nevis paaugstiniet privilēģijas esošajām identitātēm.
- Izvairieties no pastāvīgas vai pastāvīgas piekļuves, izmantojot sava identitātes nodrošinātāja just-in-time (JIT) funkcijas. Stikla saplīsuma situācijās ievērojiet avārijas piekļuves procesu. Izmantojiet priviliģēto identitātes pārvaldību (PIM), ID līdzekli Microsoft Entra , lai pārvaldītu, kontrolētu un pārraudzītu šo augsto privilēģiju lomu izmantošanu.
- Izmantojiet mūsdienīgus piekļuves protokolus, piemēram, autentifikāciju bez paroles vai daudzfaktoru autentifikāciju.
- Ieviesiet galvenos drošības atribūtus, izmantojot nosacītas piekļuves politikas.
- Neizmantoto administratīvo kontu ekspluatācijas pārtraukšana.
Nosacīta piekļuve
Nosacītā piekļuve, ID funkcija Microsoft Entra , ļauj lietot politikas, pamatojoties uz signāliem par lietotāja situāciju. Šie signāli palīdz novērtēt riska līmeni un veikt atbilstošas darbības. Nosacītās piekļuves politikas visvienkāršākajā veidā ir ja-tad paziņojumi, kas nosaka, kas lietotājiem jādara, lai piekļūtu resursam. Piemēram, varat pieprasīt lietotājiem izmantot daudzfaktoru autentifikāciju, ja viņi vēlas piekļūt audekla Power Apps programmai, kas izseko atbilstības procesu.
Nepiešķiriet visām identitātēm vienādu piekļuves līmeni. Pamatojiet savus lēmumus uz diviem galvenajiem faktoriem:
- Laiks. Cik ilgi identitāte var piekļūt jūsu videi.
- Privilēģija. Atļauju līmenis.
Šie faktori nav savstarpēji izslēdzoši. Apdraudēta identitāte ar vairāk privilēģijām un neierobežotu piekļuves ilgumu var iegūt lielāku kontroli pār sistēmu un datiem vai izmantot šo piekļuvi, lai turpinātu mainīt vidi. Ierobežojiet šos piekļuves faktorus gan kā preventīvu pasākumu, gan lai kontrolētu sprādziena rādiusu.
Just in Time (JIT) pieejas nodrošina nepieciešamās privilēģijas tikai tad, kad tās ir nepieciešamas.
Just Enough Access (JEA) nodrošina tikai nepieciešamās privilēģijas.
Lai gan laiks un privilēģijas ir galvenie faktori, tiek piemēroti citi nosacījumi. Piemēram, varat arī izmantot ierīci, tīklu un atrašanās vietu, no kuras tika iegūta piekļuve, lai iestatītu politikas.
Izmantojiet stingras vadīklas, kas filtrē, nosaka un bloķē nesankcionētu piekļuvi, tostarp tādus parametrus kā lietotāja identitāte un atrašanās vieta, ierīces darbspēja, darba slodzes konteksts, datu klasifikācija un anomālijas.
Piemēram, jūsu darba slodzei var būt nepieciešama piekļuve trešo pušu identitātēm, piemēram, kreditoriem, partneriem un klientiem. Viņiem ir nepieciešams atbilstošs piekļuves līmenis, nevis noklusējuma atļaujas, ko piešķirat pilna laika darbiniekiem. Skaidra ārējo kontu diferenciācija ļauj vieglāk novērst un atklāt uzbrukumus, kas nāk no šiem vektoriem.
Plānojiet, kā izmantot politikas, lai īstenotu drošības vadlīnijas Power Platform. Varat izmantot politiku, lai ierobežotu Power Platform piekļuvi noteiktiem lietotājiem vai apstākļiem, piemēram, viņu atrašanās vietai, ierīcei un tajā instalētajām programmām, kā arī daudzfaktoru autentifikācijai. Nosacītā piekļuve ir elastīga, taču šī elastība var ļaut izveidot politikas ar nevēlamiem rezultātiem, tostarp bloķēt savus administratorus. Plānošanas rokasgrāmata var palīdzēt pārdomāt, kā plānot nosacītas piekļuves izmantošanu.
Papildinformācija:
- Piekļuves bloķēšana pēc atrašanās vietas, izmantojot Microsoft Entra nosacīto piekļuvi
- Ieteikumi par nosacītu piekļuvi un daudzfaktoru autentifikāciju programmā Microsoft Power Automate (Flow)
Nepārtraukta piekļuves novērtēšana
Nepārtraukta piekļuves novērtēšana ir ID līdzeklis Microsoft Entra , kas pārrauga noteiktus notikumus un izmaiņas, lai noteiktu, vai lietotājam ir jāsaglabā vai jāzaudē piekļuve resursam. OAuth 2.0 autentifikācija tradicionāli balstās uz piekļuves marķiera derīguma termiņu, lai atsauktu lietotāja piekļuvi mūsdienu mākoņpakalpojumiem. Lietotāji, kuru piekļuves tiesības ir pārtrauktas, saglabā piekļuvi resursiem līdz piekļuves marķiera derīguma termiņa beigām — Power Platform pēc noklusējuma pat stundu. Tomēr, izmantojot nepārtrauktu piekļuves novērtēšanu, Power Platform tādi pakalpojumi kā Dataverse nepārtraukti novērtē lietotāja kritiskos notikumus un tīkla atrašanās vietas izmaiņas. Tās proaktīvi pārtrauc aktīvās lietotāju sesijas vai pieprasa atkārtotu autentifikāciju un ievieš nomnieka politikas izmaiņas gandrīz reāllaikā, nevis gaida piekļuves marķiera derīguma termiņu.
Tā kā organizācijas turpina izmantot hibrīda darba modeļus un mākoņa lietojumprogrammas, Microsoft Entra ID ir galvenais primārais drošības perimetrs, kas aizsargā lietotājus un resursus. Nosacītā piekļuve paplašina šo perimetru ārpus tīkla robežām, iekļaujot lietotāja un ierīces identitāti. Nepārtraukta piekļuve nodrošina, ka piekļuve tiek atkārtoti novērtēta, mainoties notikumiem vai lietotāju atrašanās vietām. Izmantojot Microsoft Entra ID ar Power Platform produktiem, varat lietot konsekventu drošības pārvaldību visā lietojumprogrammu portfelī.
Pārskatiet šo identitātes pārvaldības paraugpraksi , lai iegūtu vairāk padomu par to, kā izmantot Microsoft Entra ID Power Platform.
Piekļuve videi
Vide Power Platform ir loģisks pārvaldības konteiners un vienība, kas attēlo drošības robežu Power Platform. Daudzi līdzekļi, piemēram, virtuālais tīkls, Lockbox un drošības grupas, darbojas vides detalizācijas līmenī no pārvaldības viedokļa. Šī detalizācija ļauj ieviest dažādas drošības prasības dažādās vidēs atkarībā no jūsu biznesa vajadzībām. Lietotāji iegūst piekļuvi videi, pamatojoties uz viņiem piešķirto drošības lomu. Lai piešķirtu piekļuvi videi, nepietiek tikai ar licenci un identitāti nomnieka līmenī, ja vien tā nav noklusējuma vide.
Vides ar Dataverse atbalstu uzlabotiem drošības modeļiem, lai kontrolētu piekļuvi datiem un pakalpojumiem Dataverse datu bāzē.
Drošības grupu piešķiršana vidēm
Izmantojiet drošības grupas , lai kontrolētu, kuri licencētie lietotāji var būt noteiktas vides dalībnieki. Drošības grupas var izmantot, lai kontrolētu, kas var piekļūt resursiem vidē, kas Power Platform nav noklusējuma vide vai izstrādātāju vide. Saistiet vienu drošības grupu ar katru vidi, kurā ir vismaz viens lietotājs vai ligzdota drošības grupa. Drošības grupas izmantošana katrai videi nodrošina, ka tai var piekļūt tikai pareizie lietotāji. Ja automatizējat vides izveides procesu, varat arī automatizēt drošības grupas izveidi un nodrošināt, ka administratoriem ir piekļuve jebkurai jaunai videi.
Power Platform Administratoriem ir piekļuve visām vidēm, pat ja tie nav vides drošības grupā. Dynamics 365 administratoriem ir jābūt drošības grupā, lai piekļūtu videi.
Viesu lietotāju pārvaldība
Iespējams, jums būs jāļauj vieslietotājiem piekļūt videi un Power Platform resursiem. Tāpat kā iekšējiem lietotājiem, varat izmantot Microsoft Entra ID nosacīto piekļuvi un nepārtrauktas piekļuves novērtēšanu, lai nodrošinātu, ka vieslietotājiem tiek nodrošināts paaugstināts drošības līmenis.
Lai vēl vairāk uzlabotu drošību un samazinātu nejaušas pārmērīgas koplietošanas risku, varat arī bloķēt vai iespējot viesu Microsoft Entra piekļuvi jūsu Dataverse atbalstītajai videi. Pēc noklusējuma viesu piekļuve ir ierobežota jaunām Dataverse vidēm, nodrošinot drošu iestatīšanu jau no paša sākuma. Varat vēl vairāk uzlabot drošības rādītāju, iespējojot šo iestatījumu arī esošajās vidēs.
Maršruta veidotāji uz savu attīstības vidi
Vides maršrutēšana ļauj Power Platform administratoriem automātiski novirzīt jaunus vai esošos veidotājus savā personīgajā izstrādātāju vidē, kad viņi piesakās Power Platform tādos produktos kā Power Apps or Copilot Studio. Ieteicams konfigurēt vides maršrutēšanu, lai piedāvātu veidotājiem personisku, drošu telpu, nebaidoties Microsoft Dataverse no citu personu piekļuves viņu programmām vai datiem.
Piekļuve resursiem
Drošības lomas kontrolē iespēju izveidot un palaist noteiktas lietojumprogrammas un plūsmas vidē. Piemēram, audekla programmas var koplietot tieši ar lietotāju vai Microsoft Entra ID grupu, bet Dataverse drošības lomas joprojām tiek lietotas. Tomēr modeļa vadītas programmas tiek koplietotas tikai ar Dataverse drošības lomām.
Lomu piešķiršana identitātēm, pamatojoties uz to prasībām
Autorizējiet darbības, pamatojoties uz katras identitātes atbildību. Pārliecinieties, ka identitāte nedara vairāk, nekā tai jādara. Pirms autorizācijas kārtulu iestatīšanas pārliecinieties, vai saprotat, kas vai kas iesniedz pieprasījumus, ko šai lomai ir atļauts darīt un cik lielas ir tās atļaujas. Šie faktori vada lēmumus, kas apvieno identitāti, lomu un darbības jomu.
Apdomā šādus jautājumus:
- Vai identitātei ir nepieciešama lasīšanas vai rakstiska piekļuve datiem? Kāds rakstīšanas piekļuves līmenis ir nepieciešams?
- Ja identitāti apdraud slikts dalībnieks, kāda būtu ietekme uz sistēmu konfidencialitātes, integritātes un pieejamības ziņā?
- Vai identitātei ir nepieciešama pastāvīga piekļuve vai arī var apsvērt ierobežotu piekļuvi?
- Vai identitāte veic darbības, kurām nepieciešamas administratīvas vai paaugstinātas atļaujas?
- Kā darba slodze mijiedarbosies ar pakalpojumiem, kas nav Microsoft?
Loma ir identitātei piešķirto atļauju kopa. Piešķiriet lomas, kas ļauj tikai identitātei pabeigt uzdevumu, un ne vairāk. Ja lietotāja atļaujas ir ierobežotas atbilstoši darba prasībām, sistēmā ir vieglāk identificēt aizdomīgas vai nesankcionētas darbības.
Uzdodiet šādus jautājumus:
- Vai identitātei ir nepieciešamas atļaujas, lai dzēstu resursus?
- Vai lomai ir nepieciešama piekļuve tikai izveidotajiem ierakstiem?
- Vai hierarhiskā piekļuve ir atkarīga no struktūrvienības, kurā lietotājs ir nepieciešams?
- Vai lomai ir nepieciešamas administratīvas vai paaugstinātas atļaujas?
- Vai lomai ir nepieciešama pastāvīga piekļuve šīm atļaujām?
- Kas notiek, ja lietotājs maina darbu?
Lietotāju piekļuves līmeņa ierobežošana samazina potenciālo uzbrukuma virsmu. Ja piešķirat tikai minimālās atļaujas, kas nepieciešamas konkrētu uzdevumu veikšanai, veiksmīga uzbrukuma vai nesankcionētas piekļuves risks tiek samazināts. Piemēram, izstrādātājiem ir nepieciešama tikai veidotāja piekļuve izstrādes videi, bet ne ražošanas videi. Viņiem ir nepieciešama piekļuve, lai izveidotu resursus, bet nemainītu vides rekvizītus. Viņiem var būt nepieciešama piekļuve, lai lasītu/rakstītu datus, bet Dataverse ne mainītu tabulas datu modeli vai atribūtus Dataverse .
Izvairieties no atļaujām, kas atlasītas atsevišķiem lietotājiem. Detalizētas un pielāgotas atļaujas rada sarežģītību un neskaidrības. Tos var būt grūti uzturēt, kad lietotāji maina lomas un pārvietojas pa uzņēmumu vai kad darba grupai pievienojas jauni lietotāji ar līdzīgām autentifikācijas prasībām. Šī situācija var radīt sarežģītu mantoto konfigurāciju, kuru ir grūti uzturēt un kas negatīvi ietekmē gan drošību, gan uzticamību.
Piešķiriet lomas, kas sākas ar vismazākajām privilēģijām , un pievienojiet vairāk, pamatojoties uz jūsu darbības vai datu piekļuves vajadzībām. Jūsu tehniskajām komandām ir jābūt skaidriem norādījumiem par atļauju ieviešanu.
Identitātes dzīves cikla pārvaldības procesu izveide
Piekļuve identitātēm nedrīkst ilgt ilgāk par resursiem, kuriem identitātes piekļūst. Pārliecinieties, vai jums ir identitātes atspējošanas vai dzēšanas process, kad notiek izmaiņas grupas struktūrā vai programmatūras komponentos.
Izveidojiet identitātes pārvaldības procesu, lai pārvaldītu digitālo identitāšu, augstas priviliģētas lietotāju, ārējo vai vieslietotāju un darba slodzes lietotāju dzīves ciklu. Ieviesiet piekļuves pārskatīšanu, lai nodrošinātu, ka tad, kad identitātes atstāj organizāciju vai darba grupu, tiek noņemtas to darba slodzes atļaujas.
Koplietošanas ierobežojumu konfigurēšana
Tā kā sacensības par mākslīgā intelekta ieviešanu ir prioritāras visās nozarēs, administratori cenšas novērst resursu pārmērīgas koplietošanas risku. Pārvaldītā drošība atbalsta detalizētus koplietošanas ierobežojumus audekla programmām un risinājumiem atbilstošām mākoņa plūsmām, neļaujot veidotājiem koplietot plūsmas starp drošības grupām un ar indivīdiem.
Aģentu Copilot Studio scenārijos administratoriem ir precīza redaktora un skatītāja atļauju kontrole katrai videi vai vides grupai. Tās var arī ierobežot skatītāju skaitu līdz noteiktām drošības grupām, atsevišķām personām vai noteiktam skatītāju skaitam.
Papildus šiem detalizētajiem koplietošanas ierobežojumiem ierobežojiet arī veidotāju iespējas izmantot saīsinājumu Ikviens , lai kopīgotu programmas ar visiem organizācijas darbiniekiem.
Papildinformācija:
- Audekla programmas koplietošana
- Audekla programmas koplietošana ar vieslietotājiem
- Mākoņa plūsmas koplietošana
- Aģentu koplietošana ar citiem lietotājiem
Savienojuma izveide ar Azure resursiem, kas atbalsta pārvaldīto identitāti
Lai samazinātu risku, kas saistīts ar piekļuvi ārējiem resursiem, spraudņu Dataverse pārvaldītās identitātes atbalsts nodrošina drošu un nevainojamu autentifikāciju. Šis atbalsts novērš nepieciešamību pēc iekodētiem akreditācijas datiem un vienkāršo resursu piekļuves pārvaldību.
Dataverse piekļuve
Dataverse Izmanto bagātīgu drošības modeli , lai aizsargātu datu integritāti un lietotāju konfidencialitāti, vienlaikus veicinot efektīvu piekļuvi datiem un sadarbību. Lai definētu vispārējo piekļuvi informācijai, kas lietotājiem ir nodrošināta jūsu Power Platform vidē, varat kombinēt struktūrvienības, uz lomām balstītu drošību, uz rindām balstītu drošību un uz kolonnām balstītu drošību. Lomu piekļuves kontrole (RBAC) ļauj definēt piekļuves atļaujas un pārvaldīt piekļuvi datiem mērogojamā veidā. Izmantojot dažādas iebūvētas vai pielāgotas drošības lomas, varat piešķirt atļaujas datu bāzes, tabulas vai noteikta ieraksta līmenī.
Dataverse Iespējo precīzas piekļuves vadīklas, lai pārvaldītu autorizācijas un datu līmeņa drošības lomas. Šīs lomas definē rindu, lauku, hierarhijas un grupu aizsardzību, kas nodrošina detalizāciju un elastību, kas nepieciešama, lai lietojumprogrammās aizsargātu ļoti sensitīvus biznesa datus.
Microsoft Purview datu karte ir vienots un automatizēts risinājums, kas var atklāt, klasificēt un marķēt sensitīvus datus dažādos datu avotos un domēnos, tostarp Dataverse. Marķēšana ar Purview datu karti ļauj organizācijām automātiski klasificēt datus un viegli identificēt sensitīvus datus. Izmantojot Purview datu kartes integrāciju, varat samazināt manuālo piepūli un cilvēciskās kļūdas, kas saistītas ar datu Dataverse marķēšanu, izmantojot iepriekš definētas kārtulas un politikas, kas atbilst jūsu biznesa un atbilstības vajadzībām.
Identitātes un piekļuves pārvaldības prasību izpratne
Kā klients jūs esat atbildīgs par:
- Konta un identitātes pārvaldība
- Nosacītās piekļuves politiku izveide un konfigurēšana
- Drošības lomu izveide un piešķiršana
- Auditēšanas un uzraudzības iespējošana un konfigurēšana
- To komponentu autentifikācija un drošība, ar kuriem Power Platform var izveidot savienojumu
Izprotiet galvenās prasības attiecībā uz Power Platform īstenojamo darba slodzi. Uzdodiet sev tālāk norādītos jautājumus, lai palīdzētu identificēt konfigurējamos identitātes un piekļuves pārvaldības līdzekļus.
- Kā ieviest piekļuves kontroles un autentifikācijas mehānismus, lai nodrošinātu, ka tikai autorizēti lietotāji var piekļūt darba slodzei?
- Kā nodrošināt drošu un nevainojamu lietotāju autentifikāciju?
- Kā jūs kontrolējat, kuras lietotnes var mijiedarboties ar ģeneratīvo mākslīgo intelektu (aģentu) un kādi pasākumi nodrošina šo ierobežojumu efektivitāti?
- Kā darba slodze droši integrējas ar citām iekšējām un ārējām sistēmām?
- No kurienes lietotāji var piekļūt šim risinājumam? Piemēram, vai viņi izmanto mobilo ierīci vai tīmekļa pārlūkprogrammu?
- Vai jūsu lietotāji ir iekšēji, ārēji vai abi?
Ieteikumi
Efektīva veidotāju, lietotāju un viesu pārvaldība ir būtiska, lai saglabātu drošību, atbilstību un darbības efektivitāti Power Platform vidē. Tālāk ir sniegti detalizēti ieteikumi piekļuves un atļauju pārvaldībai.
Maršruta veidotāji uz savu personīgās attīstības vidi: izmantojiet vides maršrutēšanu , lai mudinātu veidotājus izmantot savu personīgās attīstības vidi lietojumprogrammu veidošanai un testēšanai. Šī pieeja izolē izstrādes darbības no ražošanas vides, samazinot nejaušu izmaiņu vai traucējumu risku. Personīgās attīstības vide nodrošina drošu telpu eksperimentiem un inovācijām, neietekmējot kritiskas biznesa darbības.
Neatļaut veidotāja atļaujas testēšanas un ražošanas vidēs: ierobežojiet veidotāja atļaujas testēšanas un ražošanas vidēs, lai novērstu nesankcionētas izmaiņas un nodrošinātu, ka tiek izvietotas tikai apstiprinātas un rūpīgi pārbaudītas lietojumprogrammas. Šī pienākumu nodalīšana palīdz saglabāt ražošanas sistēmu integritāti un stabilitāti, samazinot kļūdu un drošības ievainojamību risku.
Piekļuves kontrole, izmantojot drošības lomas ar vismazākajām atļaujām: ieviesiet lomu piekļuves kontroli (RBAC), lai piešķirtu atļaujas, pamatojoties uz vismazāko privilēģiju principu. Piešķiriet lietotājiem tikai piekļuvi, kas nepieciešama konkrētu uzdevumu veikšanai. Ierobežojot atļaujas, jūs samazināsiet uzbrukuma virsmu un samazināsiet drošības pārkāpumu iespējamo ietekmi.
Diagnosticējiet lietotāju piekļuves problēmas, izsaucot "Palaist diagnostiku": izmantojiet komandu Palaist diagnostiku , lai novērstu un diagnosticētu lietotāju piekļuves problēmas. Šis rīks palīdz identificēt un atrisināt ar atļaujām saistītās problēmas, nodrošinot, ka lietotājiem ir atbilstoša piekļuve uzdevumu veikšanai. Regulāra diagnostika var arī palīdzēt noteikt un novērst iespējamās drošības nepilnības.
Ierobežojiet koplietošanu ar ikvienu un izvērtējiet konkrētu ierobežojumu konfigurēšanu: izvairieties no plašām koplietošanas atļaujām, kas ļauj ikvienam piekļūt resursam. Konfigurējiet konkrētus koplietošanas ierobežojumus, lai kontrolētu, ar cik lietotājiem veidotāji var koplietot savas lietojumprogrammas un datus.
Datu politiku lietošana noklusējuma un izstrādātāja vidē: lietojiet datu politikas noklusējuma un izstrādātāja vidēm, lai ierobežotu piekļuvi tikai veidotājiem nepieciešamajiem savienotājiem. Šī pieeja palīdz novērst nesankcionētu datu pārsūtīšanu un nodrošina sensitīvas informācijas aizsardzību. Regulāri pārskatiet un atjauniniet datu politikas, lai tās atbilstu mainīgajām drošības prasībām.
Izmantojiet Microsoft Entra ID grupas, lai aizsargātu piekļuvi videi: izmantojiet Microsoft Entra ID grupas, lai pārvaldītu Power Platform un aizsargātu piekļuvi videi. Grupējot lietotājus pēc viņu lomām un pienākumiem, varat efektīvi piešķirt un pārvaldīt atļaujas. Microsoft Entra ID grupas arī vienkāršo piekļuves vadīklu atjaunināšanas procesu, mainoties organizācijas vajadzībām.
Izmantojiet Dataverse , lai būtu iebūvēts elastīgs RBAC drošības modelis: Dataverse nodrošina iebūvētu, elastīgu lomu piekļuves kontroles drošības modeli, kas ļauj efektīvi pārvaldīt lietotāju atļaujas un piekļuvi datiem. Šis modelis ļauj definēt pielāgotas lomas un piešķirt īpašas atļaujas, pamatojoties uz darba funkcijām un pienākumiem. Pārliecinieties, ka lietotājiem ir tikai nepieciešamā piekļuve, lai veiktu savus uzdevumus. Izmantojot tādas funkcijas kā detalizētas atļaujas, hierarhiska drošība un komandas piekļuve Dataverse, RBAC modelis uzlabo datu aizsardzību, atbalsta atbilstību normatīvajām prasībām un vienkāršo lietotāju piekļuves Power Platform pārvaldību vidē.
Iegultā plūsmas autentifikācija un nosacītā piekļuve
Konfigurējot Power Platform nosacītās piekļuves politikas, ņemiet vērā, ka Microsoft Flow Service (lietojumprogrammas ID: 7df0a125-d3be-4c96-aa54-591f83ff541c) nav iekļauts Office 365 lietojumprogrammas mērķī.
Svarīgi
Ja jūsu politikām ir nepieciešama MFA Office 365 programmu komplektam, lietotājiem, kuri piekļūst Power Automate plūsmām no SharePoint, Teams vai Excel, var tikt parādītas autentifikācijas kļūdas, jo marķieru apmaiņa starp resursdatora lietojumprogrammu un Power Automate neizdodas.
Lai novērstu šo problēmu, mērķauditoriju atlasiet Visas mākoņprogrammas vai skaidri pievienojiet savai politikai Microsoft Flow Service kopā ar Office 365 programmu.
Papildinformāciju skatiet sadaļā Nosacītā piekļuve un daudzfaktoru autentifikācija pakalpojumā Power Automate.
Nākamās darbības
Pārskatiet šīs sērijas detalizētos rakstus, lai vēl vairāk uzlabotu savu drošības stāvokli:
- Organizācijas apdraudējumu atklāšana
- Datu aizsardzības un konfidencialitātes vadīklu izveide
- Īstenot datu politikas stratēģiju
- Atbilstības prasību izpilde
- Noklusējuma vides aizsardzība
Pēc rakstu pārskatīšanas pārskatiet drošības kontrolsarakstu, lai nodrošinātu, ka Power Platform izvietojumi ir izturīgi, noturīgi un saskaņoti ar labāko praksi.