Dataverse ve Power Platform için erişim denetimleri
Power Platform, bölgesel yönetmelik düzenlemeleri ve kullanıcı gizliliğine uyması için birden fazla erişim denetimi sağlar. Veri İşleme ve Şifreleme denetimleri, müşteri Dataverse'deki verilerin özgün kaynağında (örneğin, Dataverse veya SharePoint) kalmasını sağlar.
Power Platform uygulamaları, veri sabitliği için Azure Depolama ve Azure SQL Database kullanır. Mobil uygulamalarda kullanılan veriler şifrelidir ve SQL Express'te depolanır. Azure SQL Database, Saydam Veri Şifrelemesi (TDE) teknolojisini kullanarak müşteri verilerini tamamen şifreler. Kalan tüm veriler Microsoft tarafından yönetilen anahtarlar kullanılarak varsayılan olarak şifrelenir ve birçok Power Platform ürünü, müşterilerin Microsoft Azure Key Vault içinde kendi şifreleme anahtarlarını (müşteri tarafından yönetilen anahtarlar) yönetmesine olanak sağlar.
Ek olarak Kimlik Yönetimi, Rol Temelli Güvenlik ve İnce Tanecikli İzin kontrolleri, Dataverse ve Power Platform müşterilerinin iş ünitelerini, rol temelli güvenlik, satır temelli güvenlik ve sütun temelli güvenlik birleştirmesine olanak tanır.
Bu yetenekler, yönetmelik denetim gereksinimlerine uymaya yardımcı olacak bilgilere kullanıcı erişimi üzerinde hassas denetim olanağı sağlar.
Rol Temelli Erişim Denetimi (RBAC)
Rol temelli güvenlik olarak da bilinen, Rol Temelli Erişim Denetimi (RBAC), organizasyondaki rollerine göre son kullanıcılara izinler veren bir yöntemdir. Erişimi basit ve yönetilebilir bir şekilde yönetmenize yardımcı olur. Ayrıca izinleri tek tek atadığınızda olabilecek hataları da azaltır.
Dataverse'deki ince RBAC kontrolleri, kullanıcıların rolleri için gereken izinlere tam olarak sahip olmasını sağlayabilir. Çevre, rol, veritabanı, tablo, satır ve sütun düzeylerinde izinler verilebilir. Kuruluşlar belirli kayıtları, alanları veya uygulamaları kimlerin okuyabileceğini, yazabileceğini, silebileceğini veya değiştirebileceğini tanımlayabilir. Bu taneciklik, müşterinin veri varlığına saygı duymaya yardımcı olur. Daha fazla bilgi için bkz Ortamda kullanıcı güvenliğini yapılandırma - Power Platform | Microsoft Learn.
Dataverse ortamları, minimum gerekli erişim ilkesini izleyen önceden tanımlanmış güvenlik rollerine sahiptir. Bu roller kullanıcılara belirli uygulamalar içinde görevlerini gerçekleştirmeleri için en az erişim olanağı sunar. Kullanılabilir roller, ortam türüne ve yüklenen uygulamalara bağlıdır.
Bir ortamın Dataverse veritabanı varsa, gerekli minimum erişim ilkelerini uygulayın ve Sistem Yönetici rolüne erişimi olan kullanıcı sayısını en aza indirin.
Dataverse veritabanı olmayan ortamlar için önceden tanımlanmış iki rol vardır:
Ortam Yöneticisi: Yönetim eylemlerini gerçekleştirir, veritabanlarını hazırlar, kaynakları yönetir ve veri kaybını önleme ilkeleri oluşturur.
Ortam Oluşturucusu: Kaynaklar (uygulamalar, bağlantılar, API'ler vb.) oluşturur ancak veri erişim ayrıcalıklarından yoksundur.
Hem uygulamalara hem de Power Apps aracılığıyla Dataverse erişimini kontrol etmek için burada verilen yönergeleri takip edin: Uygulama ve Dataverse erişimini kontrol etme - Power Platform Topluluğu (microsoft.com).
Privileged Identity Management (PIM)
PIM, denetimi yönetmenize ve önemli kaynaklara erişimi izlemenize yardımcı olan, Microsoft Entra ID açısından bir servistir. Kendi bağımsız Dataverse verilerinizi, kötü amaçlı bir şirket içi veya kötü amaçlı bir Microsoft Bulut sağlayıcısı tarafından erişim riskinden korumak için kullanabilirsiniz. PIM'nin size yardımcı olabileceği bazı özellikleri şunlardır:
Tam Zamanında Erişim: PIM, kullanıcılara Microsoft Entra ID ve Azure kaynaklarına tam zamanında ayrıcalıkla erişim sağlar. Buna göre, kullanıcılar, ayrıcalıklı görevleri gerçekleştirmek için geçici izinler alabilirler, bu da kötü amaçlı veya yetkisiz kullanıcıların izinlerin süresi dolduktan sonra erişim kazanmalarını önler.
Zaman Bağlantılı Erişim: Başlangıç ve bitiş tarihlerini kullanarak kaynaklara zaman bağlı erişim ayarlayabilirsiniz. Bu erişim türü kullanıcıların hassas verilere erişim sürelerini sınırlayarak maruz kalma risklerini azaltır.
Onay Tabanlı Rol Etkinleştirme: PIM, ayrıcalıklı rolleri etkinleştirmek için onay gerektirir. Bu adım, daha yüksek bir yetkilinin rollerin etkinleştirilmesini onaylamasını sağlayarak fazladan bir denetim ve saydamlık katmanı ekler.
Çok Faktörlü Kimlik Doğrulaması: PIM herhangi bir rolü etkinleştirmek için çok faktörlü kimlik doğrulamasını uygular. Bu işlem, kullanıcıdan minimum iki ayrı doğrulama formu aracılığıyla kimliklerini altta doğrulamasını istemektedir.
Erişim İncelemeleri: PIM, kullanıcıların atanmış rollere hala ihtiyaç duymalarını sağlamak için erişim incelemeleri yürütmenizi sağlar. İncelemeler gereksiz erişim haklarını kaldırmanıza ve içerden tehdit riski azaltmanıza yardımcı olur.
Entra'nın diğer koşullu erişim ve konum farkındalığı denetimleri ile, PIM, yalnızca kimlik doğrulama için değerlendirilebilecek güvenilen cihazlara, konumlara ve diğer koşullara izin vererek ortamlara erişimi denetlemenize yardımcı olabilir. Kötü amaçlı bir içerden veya güvenliği aşılmış bir Microsoft Cloud sağlayıcısının Dynamics bulutunda depolanan verilerinize erişme tehlikesini azaltmak için bu PIM özelliklerini kullanabilirsiniz. PIM hakkında daha fazla bilgi için bkz Privileged Identity Management nedir? - Microsoft Entra ID Yönetişimi | Microsoft Learn.
Güvenlik rolleri
Satır, alan, hiyerarşik ve grup koruması tanımlayan Dataverse yetkilendirmesi ve veri düzeyi güvenlik rollerini kullanarak verilerinizin güvenliğini sağlayabilir ve kullanıcıların en az ayrıcalıklara sahip olmasını sağlayabilirsiniz. Bu roller, tanecikli ve alan düzeyinde güvenlik belirtmenize olanak verir. Dataverse, bu denetimi korumanıza yardımcı olmak için hem ayrıcalık hem de erişim denetimleri uygular. Ayrıcalıklar, güvenlik rolleri veya takım atamaları yoluyla yönetilir ve erişim denetimleri sahiplik, rol erişimi, paylaşılan erişim veya hiyerarşi erişimi yoluyla yönetilir.
Örneğin, farkında olmadan veri açıklama yapma riskin azaltılması ve yalnızca yetkili personelin veri transferleri yapabilmesini sağlamak için, Entra Guest kullanıcı hesaplarının Power Apps yapımını kısıtlamak için kullanıcı izinlerini ayarlayın. Bir kullanıcıya veya takıma ayrıcalıklar ve devralmalar atadığınızda her bireyin yalnızca uygun ayrıcalık düzeyini aldığından emin olun.
Dataverse güvenlik rolleri ve ayrıcalıkları hakkında daha fazla bilgi, yalnızca yetkili kullanıcıların egemen varlıklarınıza erişebilmesini sağlamanıza yardımcı olmak için kullanılabilir.
Departmanlar
Her Dataverse veritabanının tek bir kök departmanı vardır. Bu departman, kullanıcıları ve erişebilecekleri verileri yönetmek için rol tabanlı güvenlikle çalışan bir güvenlik sınırı tanımlar. Bunlar, özellikle farklı erişim ve sınırlama düzeylerine sahip birden fazla departmana sahip büyük veya karmaşık kuruluşlarda egemen kontrolleri rahatlatabilir. Alt işletme birimleri oluşturmak ve gerekli en az erişim izinleri ile rol sağlamak, veri güvenliğini korumak için korkuluk görevi görür. Departmanlar bir ortama özeldir ve yönetim merkezi Ortam denetimleri üzerinden yönetilebilir.
Dataverse ayrıca, yalnızca yetkili kullanıcıların ortama, verilere ve raporlara erişebilmesine yardımcı olmak için Microsoft Entra kimlik ve erişim yönetimi mekanizmalarının denetimlerini de kullanır. Ayrıca Azure Dataverse üzerinde tasarlandığından, Azure platformunun güçlü güvenlik teknolojilerinden de faydalanır.
Şifreleme ve anahtar yönetimi
Dynamics 365, Azure'da çok müşterili bir hizmet olarak çalışır. Başka bir deyişle, birden çok müşterinin dağıtımı, sanal makinesi ve verileri aynı fiziksel donanımda depolanır. Azure, çok müşterili hizmetlerin ölçek ve ekonomik yararlarını sağlamak ve bir yandan da müşterilerin birbirlerinin verilerine erişimini engellemek için mantıksal denetimler kullanır.
Dataverse'deki müşteri verileri özgün kaynağında (örneğin Dataverse veya SharePoint) kalır. Power Platform uygulamaları, veri sabitliği için Azure Depolama ve Azure SQL Database kullanır. Mobil uygulamalarda kullanılan veriler şifrelenir ve SQL Express'de depolanır.
Dataverse, Microsoft'un yönettiği güçlü tuşları kullanarak verileri SQL Server Saydam Veri Şifrelemesi (TDE) ile gerçek zamanlı olarak şifreler. Azure Depolama Şifrelemesi, Azure Blob depolamada depolanan müşteri verilerini şifreler. Power Platform, varsayılan olarak kaydettiği tüm verileri Microsoft'un yönettiği anahtarlar kullanarak şifreler. Doğru lisanslara ve aboneliklere sahip Dynamics yönetilen ortam müşterileri, yapabilecekleri zaman Müşteri tarafından yönetilen Anahtarlar kullanmalıdırlar. Müşteri tarafından yönetilen anahtarlar Dataverse ve çoğu Dynamics 365 uygulamasıyla çalışır.
Dikkat
Müşteri tarafından yönetilen anahtarlar önceden var olan Power Automate akışlarına sahip bir ortama uygulanırsa, akış verilerinin müşterinin anahtarıyla değil Microsoft tarafından yönetilen anahtarla şifrelenmeye devam edeceğini unutmayın. Ayrıca, müşteri tarafından yönetilen anahtarlar yalnızca Microsoft Dataverse'de depolanan verileri şifreler; Dataverse olmayan veriler ve tüm bağlayıcı ayarları Microsoft tarafından yönetilen anahtarla şifrelenir.Veri kullanılırken diskteki şifrelemenin işleç erişimini durdurmadığını unutmayın.
Power BI için, Microsoft yönetilen anahtarları, verileri beklemedeki ve işlemdeki durumda olan varsayılan olarak şifreler. Bağımsız gereksinimlerini daha iyi karşılamak için, mümkünse kendi anahtarını getirmeniz (BYOK) ve Power BI Desktop (.pbix) dosyasından yüklenen semantik model verilerini yönetmeniz gerekir. Belirli gereksinimlerinize bağlı olarak, müşteri tarafından yönetilen anahtarlarınızı veya BYOK anahtarlarınızı Azure Key Vault'ta veya kendi yerinde Donanım Güvenliği Modülünde (HSM) saklayabilirsiniz. Daha fazla erişim denetimi ve saydamlık sağlamak için Azure Key Vault her başarılı veya denemeyi kaydeder. Dataverse için Azure Yönetilen HSM (mHSM) desteği önizlemede yer almaktadır. Bu, gerekirse Microsoft'un anahtarlara erişimini kaldırmanızı sağlar.
Daha fazla bilgi için bkz Power Platform'da müşteri tarafından yönetilen şifreleme anahtarınızı yönetme - Power Platform | Microsoft Learn.