Zdieľať cez

Odporúčania pre správu identít a prístupov

Vzťahuje sa na toto odporúčanie kontrolného zoznamu dobre navrhnutého zabezpečenia: Power Platform

JV:05 Implementujte prísnu, podmienenú a auditovateľnú správu identít a prístupov (IAM) pre všetkých používateľov pracovných záťaží, členov tímu a systémové komponenty. Obmedzte prístup výlučne na podľa potreby. Pre všetky implementácie autentifikácie a autorizácie používajte moderné priemyselné štandardy. Obmedziť a prísne kontrolovať prístup, ktorý nie je založený na identite.

Táto príručka popisuje odporúčania pre overovanie a autorizáciu identít, ktoré sa pokúšajú získať prístup k zdrojom vašej pracovnej záťaže.

Z hľadiska technickej kontroly je identita vždy primárnym perimetrom . Tento rozsah nezahŕňa len okraje vašej pracovnej záťaže. Zahŕňa aj jednotlivé komponenty, ktoré sú súčasťou vašej pracovnej záťaže.

Medzi typické identity patria:

  • Ľudia. Používatelia aplikácií, administrátori, operátori, audítori a zlou osobou.
  • Systémy. Identity pracovných záťaží, spravované identity, kľúče API, principály služieb a zdroje Azure.
  • Anonymný. Subjekty, ktoré neposkytli žiadne dôkazy o tom, kto sú.

Definície

Termíny Definícia
Autentifikácia (AuthN) Proces, ktorý overuje, či identita je tým, za koho sa vydáva.
Autorizácia (AuthZ) Proces, ktorý overuje, či má identita povolenie na vykonanie požadovanej akcie.
Podmienený prístup Súbor pravidiel, ktoré umožňujú akcie na základe zadaných kritérií.
IdP Poskytovateľ identity, ako napríklad Microsoft Entra ID.
Osoba Pracovná funkcia alebo titul, ktorý má súbor zodpovedností a činností.
Predzdieľané kľúče Typ tajomstva, ktoré zdieľajú poskytovateľ a spotrebiteľ a používa sa prostredníctvom bezpečného a dohodnutého mechanizmu.
Identita zdroja Identita definovaná pre cloudové zdroje, ktoré spravuje platforma.
Role Sada povolení, ktoré definujú, čo môže používateľ alebo skupina robiť.
Scope Rôzne úrovne organizačnej hierarchie, kde je povolené vykonávať danú rolu. Tiež skupina funkcií v systéme.
Bezpečnostný riaditeľ Identita, ktorá poskytuje povolenia. Môže to byť používateľ, skupina alebo principál služby. Všetci členovia skupiny majú rovnakú úroveň prístupu.
Identita používateľa Identita osoby, napríklad zamestnanca alebo externého používateľa.
Identita pracovnej záťaže Systémová identita pre aplikáciu, službu, skript, kontajner alebo inú súčasť pracovnej záťaže, ktorá sa používa na overenie vlastnej totožnosti pre iné služby a zdroje.

Poznámka

Identitu je možné zoskupiť s inými podobnými identitami pod nadradeným objektom nazývaným principal zabezpečenia. Bezpečnostná skupina je príkladom bezpečnostného principála. Tento hierarchický vzťah zjednodušuje údržbu a zlepšuje konzistentnosť. Keďže atribúty identity nie sú spracované na individuálnej úrovni, znižuje sa aj pravdepodobnosť chýb. V tomto článku termín **identita** zahŕňa aj bezpečnostné princípy.

Microsoft Entra ID ako poskytovateľ identity pre Power Platform

Všetky produkty používajú ID (predtým ID) (predtým ID alebo ID ID) na správu identity a prístupu. Power Platform Microsoft Entra Azure Active Directory Azure AD Entra ID umožňuje organizáciám zabezpečiť a spravovať identitu pre ich hybridné a multicloudové prostredia. Entra ID je tiež nevyhnutné na správu obchodných hostí, ktorí potrebujú prístup k zdrojom. Power Platform Power Platform tiež používa Entra ID na správu iných aplikácií, ktoré je potrebné integrovať s API pomocou funkcií principálu služby. Power Platform Používaním Entra ID je možné využiť pokročilejšie bezpečnostné funkcie Entra ID, ako je podmienený prístup a priebežné vyhodnocovanie prístupu. Power Platform

Overovanie

Autentifikácia je proces, ktorý overuje identitu. Žiadajúca identita musí poskytnúť nejakú formu overiteľnej identifikácie. Napríklad:

  • Používateľské meno a heslo.
  • Vopred zdieľaný tajný kľúč, ako napríklad kľúč API, ktorý udeľuje prístup.
  • Token zdieľaného prístupového podpisu (SAS).
  • Certifikát používaný pri vzájomnom overovaní prostredníctvom protokolu TLS (Transport Layer Security).

Overovanie Power Platform zahŕňa postupnosť požiadaviek, odpovedí a presmerovaní medzi prehliadačom používateľa a Power Platform alebo službami Azure. Postupnosť nasleduje podľa postupu udeľovania autorizačného kódu ID Microsoft Entra .

Pripojenie a overovanie k zdroju údajov sa vykonáva oddelene od overovania k službe Power Platform . Viac informácií nájdete v časti Pripájanie a overovanie k zdrojom údajov. ...

Autorizácia

Power Platform používa platformu Microsoft Entra ID Microsoft Identity Platform na autorizáciu všetkých volaní API pomocou štandardného protokolu OAuth 2.0.

Kľúčové dizajnérske stratégie

Aby ste pochopili potreby identity pre danú pracovnú záťaž, musíte vymenovať používateľské a systémové toky, prostriedky pracovnej záťaže a persony a akcie, ktoré vykonajú.

Každý prípad použitia bude pravdepodobne mať vlastnú sadu kontrol, ktoré musíte navrhnúť s ohľadom na predpokladané porušenie. Na základe požiadaviek na identitu prípadu použitia alebo person identifikujte podmienené voľby. Vyhnite sa používaniu jedného riešenia pre všetky prípady použitia. Naopak, kontroly by nemali byť také detailné, aby ste zaviedli zbytočné náklady na správu.

Musíte zaznamenať prístupovú stopu identity. Pomôže to overiť kontroly a protokoly môžete použiť na audity súladu.

Určiť všetky identity na overenie

Prístup zvonku dovnútra. Overovanie Power Platform zahŕňa postupnosť požiadaviek, odpovedí a presmerovaní medzi prehliadačom používateľa a Power Platform alebo službami Azure. Postupnosť nasleduje podľa postupu udeľovania autorizačného kódu ID Microsoft Entra . Power Platform automaticky overuje všetkých používateľov, ktorí pristupujú k pracovnej záťaži z rôznych dôvodov.

Prístup zvnútra von. Vaša pracovná záťaž bude potrebovať prístup k iným zdrojom. Napríklad čítanie z dátovej platformy alebo zápis do nej, načítanie tajných údajov z úložiska tajných údajov a zaznamenávanie telemetrie do monitorovacích služieb. Možno bude dokonca potrebovať prístup k službám tretích strán. Toto všetko sú požiadavky na identitu pracovnej záťaže. Musíte však zvážiť aj požiadavky na identitu zdrojov, napríklad ako budú prebiehať a overovať sa kanály nasadenia.

Určiť akcie pre autorizáciu

Ďalej musíte vedieť, čo sa každá overená identita snaží urobiť, aby bolo možné tieto akcie autorizovať. Akcie možno rozdeliť podľa typu prístupu, ktorý vyžadujú:

  • Prístup k dátovej rovine. Akcie, ktoré sa odohrávajú v dátovej rovine, spôsobujú prenos dát. Napríklad aplikácia číta alebo zapisuje údaje z Microsoft Dataverse alebo zapisuje protokoly do Application Insights.

  • Prístup k riadiacej rovine. Akcie, ktoré sa vyskytnú v riadiacej rovine, spôsobia vytvorenie, úpravu alebo odstránenie zdroja. Power Platform Napríklad úprava vlastností prostredia alebo vytvorenie dátovej politiky.

Aplikácie sa zvyčajne zameriavajú na operácie s dátovou rovinou, zatiaľ čo operácie často pristupujú k riadiacej aj dátovej rovine.

Poskytnite autorizáciu na základe rolí

Na základe zodpovednosti každej identity autorizujte akcie, ktoré by mali byť povolené. Identite nesmie byť dovolené robiť viac, ako je potrebné. Pred nastavením pravidiel autorizácie musíte mať jasnú predstavu o tom, kto alebo čo zadáva požiadavky, čo je daná rola oprávnená robiť a do akej miery to môže robiť. Tieto faktory vedú k voľbám, ktoré kombinujú identitu, úlohu a rozsah.

Vezmite do úvahy nasledujúce skutočnosti:

  • Musí mať pracovná záťaž prístup k dátovej rovine pre čítanie aj zápis? Dataverse
  • Vyžaduje si pracovná záťaž aj prístup k vlastnostiam prostredia?
  • Ak je identita ohrozená zlým aktérom, aký by to malo vplyv na systém z hľadiska dôvernosti, integrity a dostupnosti?
  • Vyžaduje si pracovná záťaž trvalý prístup alebo je možné zvážiť podmienený prístup?
  • Vykonáva pracovná záťaž akcie, ktoré vyžadujú administrátorské/zvýšené povolenia?
  • Ako bude pracovná záťaž interagovať so službami tretích strán?
  • Máte požiadavky na jednotné prihlásenie (SSO) pre inteligentné aplikačné záťaže, ako sú agenti?
  • Pracuje agent v neoverenom režime, overenom režime alebo v oboch?

Priradenie roly

Rola je súbor oprávnení priradených k identite. Priraďte roly, ktoré umožňujú identite iba dokončiť úlohu a nič viac. Keď sú oprávnenia používateľa obmedzené na požiadavky jeho práce, je ľahšie identifikovať podozrivé alebo neoprávnené správanie v systéme.

Položte si otázky, ako sú tieto:

  • Stačí prístup len na čítanie?
  • Potrebuje identita povolenia na odstránenie zdrojov?
  • Potrebuje daná rola prístup iba k záznamom, ktoré vytvorila?
  • Je vyžadovaný hierarchický prístup založený na obchodnej jednotke, v ktorej používateľ pôsobí?
  • Vyžaduje si táto rola administrátorské alebo zvýšené oprávnenia?
  • Vyžaduje si táto rola trvalý prístup k týmto povoleniam?
  • Čo sa stane, ak používateľ zmení zamestnanie?

Obmedzenie úrovne prístupu používateľov, aplikácií alebo služieb znižuje potenciálnu plochu útoku. Ak udelíte iba minimálne povolenia, ktoré sú potrebné na vykonávanie konkrétnych úloh, riziko úspešného útoku alebo neoprávneného prístupu sa výrazne zníži. Napríklad vývojári potrebujú prístup tvorcu iba k vývojovému prostrediu, ale nie k produkčnému prostrediu; potrebujú prístup iba k vytváraniu zdrojov, ale nie k zmene vlastností prostredia; a môžu potrebovať iba prístup k čítaniu/zápisu údajov z tabuľky, ale nie k zmene dátového modelu alebo atribútov tabuľky. Dataverse Dataverse

Vyhnite sa povoleniam, ktoré sú zamerané na jednotlivých používateľov. Podrobné a vlastné povolenia vytvárajú zložitosť a zmätok a ich údržba sa môže stať náročnou, keďže používatelia menia úlohy a presúvajú sa v rámci firmy, alebo keď sa do tímu pridávajú noví používatelia s podobnými požiadavkami na overenie. Táto situácia môže vytvoriť zložitú staršiu konfiguráciu, ktorú je ťažké udržiavať a ktorá negatívne ovplyvní bezpečnosť aj spoľahlivosť.

Kompromis: Podrobný prístup k riadeniu prístupu umožňuje lepší audit a monitorovanie aktivít používateľov.

Udeľujte roly, ktoré začínajú s najnižšími oprávneniami, a pridávajte ďalšie na základe vašich prevádzkových alebo dátových potrieb. Vaše technické tímy musia mať jasné pokyny na implementáciu povolení.

Vytvorte možnosti podmieneného prístupu

Nedávajte všetkým identitám rovnakú úroveň prístupu. Svoje rozhodnutia založte na dvoch hlavných faktoroch:

  • Čas. Ako dlho môže identita pristupovať k vášmu prostrediu.
  • Privilégium. Úroveň povolení.

Tieto faktory sa navzájom nevylučujú. Kompromitovaná identita, ktorá má viac privilégií a neobmedzené trvanie prístupu, môže získať väčšiu kontrolu nad systémom a údajmi alebo tento prístup použiť na ďalšiu zmenu prostredia. Obmedzte tieto faktory prístupu ako preventívne opatrenie, tak aj na kontrolu polomeru výbuchu.

Prístupy Just in Time (JIT) poskytujú požadované privilégiá iba vtedy, keď sú potrebné.

Prístup Just Enough Access (JEA) poskytuje iba požadované privilégiá.

Hoci čas a privilégiá sú primárnymi faktormi, platia aj ďalšie podmienky. Napríklad na nastavenie politík môžete použiť aj zariadenie, sieť a umiestnenie, z ktorého prístup pochádzal.

Používajte silné kontroly, ktoré filtrujú, detekujú a blokujú neoprávnený prístupvrátane parametrov, ako sú identita a poloha používateľa, stav zariadenia, kontext pracovnej záťaže, klasifikácia údajov a anomálie.

Napríklad, k vašej pracovnej záťaži môžu potrebovať prístup identity tretích strán, ako sú dodávatelia, partneri a zákazníci. Potrebujú primeranú úroveň prístupu, a nie predvolené povolenia, ktoré poskytujete zamestnancom na plný úväzok. Jasné rozlíšenie externých účtov uľahčuje prevenciu a odhaľovanie útokov, ktoré pochádzajú z týchto vektorov.

Účty s kritickým vplyvom

Administratívne identity predstavujú niektoré z najväčšieho bezpečnostného rizika, pretože úlohy, ktoré vykonávajú, vyžadujú privilegovaný prístup k širokej škále týchto systémov a aplikácií. Kompromis alebo zneužitie môže mať škodlivý vplyv na vašu firmu a jej informačné systémy. Bezpečnosť administratívy je jednou z najdôležitejších bezpečnostných oblastí.

Ochrana privilegovaného prístupu pred odhodlanými protivníkmi si vyžaduje komplexný a premyslený prístup k izolácii týchto systémov od rizík. Tu je niekoľko stratégií:

  • Minimalizujte počet účtov s kritickým vplyvom.

  • Používajte samostatné role namiesto zvyšovania privilégií pre existujúce identity.

  • Vyhnite sa trvalému alebo stojacemu prístupu pomocou funkcií JIT vášho poskytovateľa identity. V prípade rozbitia skla postupujte podľa postupu núdzového prístupu.

  • Používajte moderné prístupové protokoly ako napríklad overovanie bez hesla alebo viacfaktorové overovanie. Externalizuj tieto mechanizmy na svojho poskytovateľa identity.

  • Vynútiť kľúčové bezpečnostné atribúty pomocou politiky podmieneného prístupu.

  • Administratívne účty vyradenia z prevádzky ktoré sa nepoužívajú.

Zaviesť procesy na riadenie životného cyklu identity

Prístup k identitám nesmie trvať dlhšie ako zdroje, ku ktorým identity pristupujú. Uistite sa, že máte proces na deaktiváciu alebo odstránenie identít v prípade zmien v štruktúre tímu alebo softvérových komponentoch.

Toto usmernenie sa vzťahuje na riadenie zdrojového kódu, dáta, riadiace roviny, používateľov pracovných zaťažení, infraštruktúru, nástroje, monitorovanie dát, protokoly, metriky a ďalšie entity.

Zaviesť proces riadenia identít na riadenie životného cyklu digitálnych identít, používateľov s vysokými privilégiami, externých/hosťovských používateľov a používateľov s pracovnou záťažou. Implementujte kontroly prístupov, aby ste zabezpečili, že keď identity opustia organizáciu alebo tím, ich povolenia na pracovnú záťaž budú odstránené.

Chráňte tajomstvá, ktoré nie sú založené na identite

Tajomstvá aplikácií, ako napríklad predzdieľané kľúče, by sa mali považovať za zraniteľné body v systéme. V obojsmernej komunikácii, ak je poskytovateľ alebo spotrebiteľ ohrozený, môžu vzniknúť významné bezpečnostné riziká. Tieto kľúče môžu byť tiež zaťažujúce, pretože zavádzajú prevádzkové procesy.

Tieto tajné položky považujte za entity, ktoré je možné dynamicky načítať z úložiska tajných položiek. Nemali by byť pevne zakódované vo vašich aplikáciách, postupoch, kanáloch nasadenia ani v žiadnom inom artefakte.

Uistite sa, že máte možnosť zrušiť tajomstvá .

Aplikujte prevádzkové postupy, ktoré riešia úlohy, ako je rotácia kľúčov a ich expirácia .

Informácie o politikách rotácie nájdete v častiach Automatizácia rotácie tajného prvku pre zdroje, ktoré majú dve sady overovacích poverení a Kurz: Aktualizácia frekvencie automatickej rotácie certifikátu v Key Vault. ......

Udržujte vývojové prostredia bezpečné

Prístup na zápis do vývojových prostredí by mal byť obmedzený a prístup na čítanie zdrojového kódu by mal byť obmedzený na role na základe potreby poznať. Mali by ste mať zavedený proces, ktorý pravidelne skenuje zdroje a identifikuje najnovšie zraniteľnosti.

Udržiavajte audítorskú stopu

Jedným z aspektov správy identít je zabezpečenie auditovateľnosti systému. Audity overujú, či sú stratégie porušenia predpokladov účinné. Udržiavanie audítorskej stopy vám pomôže:

  • Overte, či je identita overená silným overením. Akákoľvek akcia musí byť sledovateľná, aby sa predišlo útokom odmietnutia.

  • Zistite slabé alebo chýbajúce overovacie protokoly a získajte prehľad a prehľad o prihláseniach používateľov a aplikácií.

  • Vyhodnoťte prístup identít k pracovnej záťaži na základe bezpečnostných a požiadaviek na dodržiavanie predpisov a zvážte riziko používateľského účtu, stav zariadenia a ďalšie kritériá a politiky, ktoré nastavíte.

  • Sledujte pokrok alebo odchýlku od požiadaviek na súlad.

Väčšina zdrojov má prístup k dátovej rovine. Musíte poznať identity, ktoré pristupujú k zdrojom, a akcie, ktoré vykonávajú. Tieto informácie môžete použiť na bezpečnostnú diagnostiku.

Power Platform uľahčenie

Power Platform Riadenie prístupu je dôležitou súčasťou celkovej bezpečnostnej architektúry. Body kontroly prístupu môžu zabezpečiť, aby správni používatelia získali prístup k zdrojom. Power Platform V tejto časti preskúmame rôzne prístupové body, ktoré môžete nakonfigurovať, a ich úlohu vo vašej celkovej bezpečnostnej stratégii.

Microsoft Entra ID

Všetky produkty používajú ID (predtým ID) (predtým ID alebo ID ID) na správu identity a prístupu. Power Platform Microsoft Entra Azure Active Directory Azure AD Entra ID umožňuje organizáciám zabezpečiť a spravovať identitu pre ich hybridné a multicloudové prostredia. Entra ID je tiež nevyhnutné na správu obchodných hostí, ktorí potrebujú prístup k zdrojom. Power Platform Power Platform tiež používa Entra ID na správu iných aplikácií, ktoré je potrebné integrovať s API pomocou funkcií principálu služby. Power Platform Používaním Entra ID môže **využívať** pokročilejšie bezpečnostné funkcie Entra ID, ako je podmienený prístup a priebežné vyhodnocovanie prístupu. Power Platform

Schéma cloudového výpočtového systému.

Pridelenie licencie

Prístup k Power Apps a Power Automate začína licenciou. Prostriedky a údaje, ku ktorým má používateľ prístup, sú určené typom licencie, ktorú má. Nasledujúca tabuľka vo všeobecnosti uvádza rozdiely v zdrojoch dostupných používateľovi na základe typu plánu. Podrobné informácie o licenciách nájdete v prehľade licencií.

Zásady podmieneného prístupu

Podmienený prístup opisuje vašu politiku pre rozhodnutie o prístupe. Ak chcete použiť podmienený prístup, musíte pochopiť obmedzenia, ktoré sú potrebné pre daný prípad použitia. Nakonfigurujte podmienený prístup nastavením politiky prístupu, ktorá je založená na vašich prevádzkových potrebách. Microsoft Entra

Ďalšie informácie:

Nepretržitý prístup

Nepretržitý prístup sa zrýchľuje, keď sa určité udalosti vyhodnocujú s cieľom určiť, či by sa mal prístup zrušiť. Tradične, pri autentifikácii 2.0, platnosť prístupového tokenu vyprší, keď sa vykoná kontrola počas obnovy tokenu. OAuth Pri nepretržitom prístupe sa kritické udalosti používateľa a zmeny sieťového umiestnenia priebežne vyhodnocujú, aby sa určilo, či si má používateľ naďalej ponechať prístup. Tieto vyhodnotenia môžu viesť k predčasnému ukončeniu aktívnych relácií alebo k nutnosti opätovnej autentifikácie. Napríklad, ak je používateľský účet deaktivovaný, mal by stratiť prístup k aplikácii. Dôležitá je aj poloha; napríklad token mohol byť autorizovaný z dôveryhodného miesta, ale používateľ zmenil svoje pripojenie na nedôveryhodnú sieť. Nepretržitý prístup by spustil vyhodnotenie politiky podmieneného prístupu a používateľ by stratil prístup, pretože sa už nepripája zo schváleného miesta.

V súčasnosti, s ** Power Platform**, iba ** Dataverse ** podporuje nepretržité vyhodnocovanie prístupu. Spoločnosť Microsoft pracuje na pridaní podpory pre ďalšie Power Platform služby a klienti. Viac informácií nájdete Priebežné vyhodnocovanie prístupu.

S pokračujúcim zavádzaním hybridných pracovných modelov a používaním cloudových aplikácií sa Entra ID stalo kľúčovým primárnym bezpečnostným perimetrom na ochranu používateľov a zdrojov. Podmienený prístup rozširuje tento perimeter za hranice siete a zahŕňa identitu používateľa a zariadenia. Nepretržitý prístup zabezpečuje, že pri zmene udalostí alebo polohy používateľov sa prístup prehodnocuje. Power PlatformPoužívanie Entra ID vám umožňuje implementovať riadenie bezpečnosti na úrovni organizácie, ktoré môžete konzistentne uplatňovať v celom portfóliu aplikácií. Prečítajte si tieto osvedčené postupy správy identít a získajte ďalšie pokyny pri vytváraní vlastného plánu používania Entra ID s Power Platform.

Správa skupinového prístupu

Namiesto udeľovania povolení konkrétnym používateľom priraďte prístup skupinám v ID. Microsoft Entra Ak skupina neexistuje, vytvorte ju v spolupráci s tímom pre identitu. Potom môžete pridávať a odoberať členov skupiny mimo Azure a uistiť sa, že povolenia sú aktuálne. Skupinu môžete použiť aj na iné účely, ako napríklad na vytváranie e-mailových zoznamov.

Viac informácií nájdete v časti Bezpečné riadenie prístupu pomocou skupín v ID . Microsoft Entra

Detekcia hrozieb

Microsoft Entra Ochrana identity vám môže pomôcť odhaliť, vyšetriť a napraviť riziká súvisiace s identitou. Viac informácií nájdete v časti Čo je ochrana identity?.

Detekcia hrozieb môže mať formu reakcie na upozornenie na podozrivú aktivitu alebo proaktívneho vyhľadávania anomálnych udalostí v protokoloch aktivít. Analýza správania používateľov a entít (UEBA) v programe Microsoft Sentinel uľahčuje odhaľovanie podozrivých aktivít. Viac informácií nájdete v časti Identifikácia pokročilých hrozieb pomocou UEBA v programe Microsoft Sentinel.

Zaznamenávanie identity

Power Apps, Power Automate, Copilot Studio, konektory a protokolovanie aktivít ochrany pred únikom údajov sa sledujú a zobrazujú na portáli dodržiavania predpisov spoločnosti Microsoft Purview. Viac informácií nájdete v článku Informácie o pôsobnosti spoločnosti Microsoft.

Zaznamenáva zmeny vykonané v záznamoch zákazníkov v prostredí s databázou. Dataverse Dataverse auditovanie tiež zaznamenáva prístup používateľov prostredníctvom aplikácie alebo súpravy SDK v prostredí. Toto auditovanie je povolené na úrovni prostredia a pre jednotlivé tabuľky a stĺpce je potrebná dodatočná konfigurácia.

Roly správcu služieb

Entra ID obsahuje sadu vopred stanovených rolí, ktoré je možné priradiť správcom, aby im to umožnilo vykonávať administratívne úlohy. Podrobný rozpis oprávnení každej roly nájdete v matici oprávnení .

Na správu vysoko privilegovaných administrátorských rolí v centre spravovania použite Microsoft Entra Správu privilegovaných identít (PIM) . Power Platform

Zabezpečenie údajov Dataverse

Jednou z kľúčových vlastností je jeho bohatý bezpečnostný model, ktorý sa dokáže prispôsobiť mnohým scenárom podnikového použitia. Dataverse Tento bezpečnostný model je k dispozícii iba vtedy, keď je v prostredí databáza. Dataverse Ako bezpečnostný profesionál pravdepodobne nebudete sami budovať celý bezpečnostný model, ale môžete sa podieľať na zabezpečení toho, aby používanie bezpečnostných funkcií bolo v súlade s požiadavkami organizácie na bezpečnosť údajov. Dataverse používa zabezpečenie založené na rolách na zoskupenie súboru oprávnení. Tieto roly zabezpečenia môžu byť spojené priamo s používateľmi alebo s nimi môžu byť spojené Dataverse tímy a obchodné jednotky. Viac informácií nájdete v časti Bezpečnostné koncepty v publikácii . Microsoft Dataverse

Nakonfigurujte overovanie používateľa v Copilot Studio

Microsoft Copilot Studio podporuje niekoľko možností autentifikácie. Vyberte si ten, ktorý spĺňa vaše potreby. Autentifikácia umožňuje používateľom prihlásiť sa, čím sa vášmu agentovi udelí prístup k obmedzeným zdrojom alebo informáciám. Používatelia sa môžu prihlásiť pomocou ID alebo ľubovoľného poskytovateľa identity 2.0, ako napríklad Google alebo. Microsoft Entra OAuth Facebook Viac informácií nájdete v časti Konfigurácia overovania používateľov v časti **Nastavenie overovania používateľov v časti **. Copilot Studio

Vďaka zabezpečeniu založenému na Direct Linemôžete obmedziť prístup k miestam, ktoré kontrolujete, povolením zabezpečeného prístupu pomocoutajných kľúčov alebo tokenov. Direct Line

Copilot Studio podporuje jednotné prihlásenie (SSO), čo znamená, že agenti môžu prihlásiť používateľa. Jednoduché prihlásenie (SSO) musí byť implementované na vašich webových stránkach a mobilných aplikáciách. Pre Microsoft Teams je jednorazové prihlásenie (SSO) bezproblémové, ak vyberiete možnosť overenia „Iba v Teams“. Dá sa to nakonfigurovať aj manuálne pomocou verzie 2; v tomto prípade však musí byť aplikácia Teams nasadená ako súbor zip, nie prostredníctvom nasadenia Teams jedným kliknutím Azure AD . Copilot Studio

Získajte ďalšie informácie:

Bezpečný prístup k údajom pomocou Customer Lockbox

Väčšina operácií, podpory a riešenia problémov vykonávaných zamestnancami spoločnosti Microsoft (vrátane subdodávateľov) si nevyžaduje prístup k údajom zákazníkov. Prostredníctvom Power Platform Customer Lockbox poskytujeme rozhranie pre zákazníkov na kontrolu a schvaľovanie (alebo odmietnutie) žiadosti o prístup k údajom v zriedkavých prípadoch, keď je potrebný prístup k údajom zákazníkov. Napríklad sa používa, keď inžinier spoločnosti Microsoft potrebuje prístup k údajom o zákazníkoch, či už v reakcii na tiket podpory iniciovaný zákazníkom alebo na problém identifikovaný spoločnosťou Microsoft. Viac informácií nájdete Bezpečný prístup k údajom zákazníkov pomocou Customer Lockbox v Power Platform a Dynamics 365.

Kontrolný zoznam zabezpečenia

Pozrite si kompletný súbor odporúčaní.

Kontrolný zoznam zabezpečenia