Định cấu hình quản lý quyền truy cập và danh tính

Việc quản lý quyền truy cập vào thông tin và tài nguyên nhạy cảm là rất quan trọng đối với quản trị viên CNTT và Giám đốc An ninh thông tin (CISO) trên khắp các ngành. Đảm bảo quyền truy cập ít đặc quyền nhất là điều cần thiết để duy trì bảo mật mạnh mẽ.

Power Platform tích hợp với Microsoft Entra ID để quản lý danh tính và quyền truy cập, cho phép quản trị viên quản lý người dùng và tương tác của họ với Power Platform tài nguyên một cách an toàn. Microsoft Entra ID là yếu tố trung tâm trong xác thực của Microsoft và giúp bảo vệ chống lại hành vi xâm phạm danh tính. Microsoft Entra ID cung cấp cho quản trị viên CNTT khả năng hiển thị và kiểm soát, đồng thời cung cấp các khả năng bảo mật như xác thực đa yếu tố và truy cập có điều kiện. Bảo mật được quản lý cung cấp các khả năng được xây dựng dựa trên Microsoft Entra ID, cung cấp cho quản trị viên quyền kiểm soát chi tiết để đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập dữ liệu và tài nguyên.

Bài viết này giải thích về các biện pháp kiểm soát quản lý danh tính và quyền truy cập ở mọi lớp.

Quyền truy cập của người thuê nhà

Quyền truy cập cấp độ người thuê là lớp bảo mật đầu tiên và sử dụng ID. Microsoft Entra Nó đảm bảo rằng người dùng có tài khoản người dùng đang hoạt động và tuân thủ mọi chính sách truy cập có điều kiện để đăng nhập. Tuy nhiên, việc có một tài khoản đang hoạt động và được kích hoạt không có nghĩa là bạn có quyền truy cập vào nền tảng. Chỉ những người dùng có giấy phép phù hợp mới có thể xác thực và sử dụng nền tảng.

Vai trò quản trị dịch vụ

Bạn có thể chỉ định hai vai trò quản trị dịch vụ liên quan để cung cấp mức quản lý quản trị cao: Power Platform

• Power Platform quản trị viên: Vai trò này có thể thực hiện tất cả các chức năng quản trị trong Power Platform, bất kể tư cách thành viên nhóm bảo mật ở cấp độ môi trường.
• Quản trị viên Dynamics 365: Vai trò này có thể thực hiện hầu hết các chức năng quản trị trong Power Platform, nhưng chỉ dành cho các môi trường mà vai trò này thuộc nhóm bảo mật.

Những vai trò này không thể quản lý tài khoản người dùng, đăng ký và cài đặt quyền truy cập cho các ứng dụng khác. Microsoft 365 Bạn cần cộng tác với những người quản trị khác trong tổ chức của mình để thực hiện những nhiệm vụ đó. Để biết thêm thông tin về quyền của từng vai trò, hãy xem lại ma trận quyền quản trị viên dịch vụ.

Danh tính quản trị gây ra rủi ro bảo mật đáng kể vì nhiệm vụ của chúng yêu cầu quyền truy cập đặc quyền vào nhiều hệ thống và ứng dụng. Việc xâm phạm hoặc sử dụng sai mục đích có thể gây hại cho doanh nghiệp và hệ thống thông tin của bạn. Bảo mật hành chính là một trong những lĩnh vực bảo mật quan trọng nhất.

Việc bảo vệ quyền truy cập đặc quyền khỏi những kẻ thù quyết tâm đòi hỏi một phương pháp toàn diện và chu đáo để cô lập hệ thống khỏi các rủi ro. Sau đây là một số chiến lược:

• Giảm thiểu số lượng tài khoản có tác động quan trọng.
• Sử dụng các vai trò riêng biệt thay vì nâng cao đặc quyền cho các danh tính hiện có.
• Tránh truy cập cố định hoặc thường xuyên bằng cách sử dụng tính năng đúng lúc (JIT) của nhà cung cấp danh tính của bạn. Đối với tình huống kính vỡ, hãy thực hiện theo quy trình tiếp cận khẩn cấp. Sử dụng Quản lý danh tính đặc quyền (PIM), một tính năng của Microsoft Entra ID, để quản lý, kiểm soát và giám sát việc sử dụng các vai trò có đặc quyền cao này.
• Sử dụng các giao thức truy cập hiện đại như xác thực không cần mật khẩu hoặc xác thực đa yếu tố.
• Áp dụng các thuộc tính bảo mật quan trọng bằng cách sử dụng chính sách truy cập có điều kiện.
• Xóa các tài khoản quản trị không được sử dụng.

Truy cập có điều kiện

Quyền truy cập có điều kiện, một tính năng của Microsoft Entra ID, cho phép bạn áp dụng các chính sách dựa trên các tín hiệu về tình huống của người dùng. Những tín hiệu này giúp bạn đánh giá mức độ rủi ro và thực hiện các hành động phù hợp. Chính sách truy cập có điều kiện, theo cách đơn giản nhất, là các câu lệnh if-then xác định những gì người dùng phải làm để truy cập vào một tài nguyên. Ví dụ: bạn có thể yêu cầu người dùng sử dụng xác thực đa yếu tố nếu họ muốn truy cập ứng dụng canvas theo dõi quy trình tuân thủ. Power Apps

Không cấp cho tất cả các danh tính cùng một mức độ truy cập. Hãy đưa ra quyết định dựa trên hai yếu tố chính:

• Thời gian. Danh tính có thể truy cập vào môi trường của bạn trong bao lâu.
• Quyền. Mức độ cấp phép.

Những yếu tố này không loại trừ lẫn nhau. Một danh tính bị xâm phạm với nhiều đặc quyền hơn và thời gian truy cập không giới hạn có thể kiểm soát hệ thống và dữ liệu nhiều hơn hoặc sử dụng quyền truy cập đó để tiếp tục thay đổi môi trường. Hạn chế các yếu tố tiếp cận này như một biện pháp phòng ngừa và kiểm soát bán kính nổ.

Phương pháp Just in Time (JIT) chỉ cung cấp các đặc quyền cần thiết khi bạn cần đến chúng.

Vừa đủ quyền truy cập (JEA) chỉ cung cấp những đặc quyền cần thiết.

Mặc dù thời gian và đặc quyền là những yếu tố chính, nhưng vẫn có những điều kiện khác được áp dụng. Ví dụ, bạn cũng có thể sử dụng thiết bị, mạng và vị trí mà quyền truy cập bắt nguồn để đặt chính sách.

Sử dụng các biện pháp kiểm soát mạnh mẽ để lọc, phát hiện và chặn truy cập trái phép, bao gồm các thông số như danh tính và vị trí của người dùng, tình trạng thiết bị, bối cảnh khối lượng công việc, phân loại dữ liệu và các điểm bất thường.

Ví dụ, khối lượng công việc của bạn có thể cần được truy cập bởi các danh tính của bên thứ ba như nhà cung cấp, đối tác và khách hàng. Họ cần mức độ truy cập phù hợp thay vì các quyền mặc định mà bạn cung cấp cho nhân viên toàn thời gian. Việc phân biệt rõ ràng các tài khoản bên ngoài giúp ngăn chặn và phát hiện các cuộc tấn công đến từ các tài khoản này dễ dàng hơn.

Lập kế hoạch sử dụng các chính sách để thực thi các nguyên tắc bảo mật của bạn cho Power Platform. Bạn có thể sử dụng chính sách để giới hạn quyền truy cập cho những người dùng hoặc điều kiện cụ thể, chẳng hạn như vị trí của họ, thiết bị họ đang sử dụng và các ứng dụng được cài đặt trên đó, cũng như liệu họ có sử dụng xác thực đa yếu tố hay không. Power Platform Quyền truy cập có điều kiện rất linh hoạt, nhưng tính linh hoạt đó có thể cho phép bạn tạo ra các chính sách có kết quả không mong muốn, bao gồm cả việc khóa quyền truy cập của chính quản trị viên của bạn. Hướng dẫn lập kế hoạch có thể giúp bạn suy nghĩ về cách lập kế hoạch sử dụng quyền truy cập có điều kiện.

Tìm hiểu thêm:

• Chặn quyền truy cập theo vị trí bằng Microsoft Entra Quyền truy cập có điều kiện
• Khuyến nghị về quyền truy cập có điều kiện và xác thực đa yếu tố trong Microsoft Power Automate (Flow)

Đánh giá truy cập liên tục

Đánh giá quyền truy cập liên tục là một tính năng của Microsoft Entra ID dùng để theo dõi các sự kiện và thay đổi nhất định nhằm xác định xem người dùng có nên giữ hay mất quyền truy cập vào tài nguyên hay không. OAuth Xác thực 2.0 theo truyền thống dựa vào thời điểm hết hạn mã thông báo truy cập để thu hồi quyền truy cập của người dùng vào các dịch vụ đám mây hiện đại. Người dùng bị chấm dứt quyền truy cập vẫn có thể truy cập vào tài nguyên cho đến khi mã thông báo truy cập hết hạn—trong thời gian mặc định là một giờ. Power Platform Tuy nhiên, với việc đánh giá quyền truy cập liên tục, Power Platform các dịch vụ như Dataverse liên tục đánh giá các sự kiện quan trọng của người dùng và những thay đổi về vị trí mạng. Họ chủ động chấm dứt các phiên người dùng đang hoạt động hoặc yêu cầu xác thực lại và thực thi các thay đổi chính sách của đối tượng thuê gần như theo thời gian thực thay vì chờ mã thông báo truy cập hết hạn.

Khi các tổ chức tiếp tục áp dụng mô hình làm việc kết hợp và ứng dụng đám mây, Microsoft Entra ID là vành đai bảo mật chính quan trọng giúp bảo vệ người dùng và tài nguyên. Quyền truy cập có điều kiện mở rộng phạm vi đó ra ngoài ranh giới mạng để bao gồm danh tính người dùng và thiết bị. Quyền truy cập liên tục đảm bảo quyền truy cập được đánh giá lại khi sự kiện hoặc vị trí của người dùng thay đổi. Bằng cách sử dụng Microsoft Entra ID với Power Platform sản phẩm, bạn có thể áp dụng quản trị bảo mật nhất quán trên toàn bộ danh mục ứng dụng của mình.

Xem lại các phương pháp quản lý danh tính tốt nhất để biết thêm mẹo về cách sử dụng Microsoft Entra ID với Power Platform.

Truy cập môi trường

Môi trường Power Platform là một đơn vị quản lý quản trị và chứa đựng logic biểu diễn ranh giới bảo mật trong . Power Platform Nhiều tính năng như mạng ảo, Lockbox và nhóm bảo mật đều hoạt động ở mức độ chi tiết theo môi trường từ góc độ quản lý. Mức độ chi tiết này cho phép triển khai các yêu cầu bảo mật khác nhau trong các môi trường khác nhau tùy thuộc vào nhu cầu kinh doanh của bạn. Người dùng có quyền truy cập vào môi trường dựa trên vai trò bảo mật mà họ được chỉ định. Chỉ cần có giấy phép và danh tính ở cấp độ người thuê là không đủ để cấp quyền truy cập vào một môi trường trừ khi đó là môi trường mặc định.

Môi trường hỗ trợ các mô hình bảo mật nâng cao để kiểm soát quyền truy cập vào dữ liệu và dịch vụ trong cơ sở dữ liệu. Dataverse Dataverse

Chỉ định nhóm bảo mật cho môi trường

Sử dụng nhóm bảo mật để kiểm soát những người dùng được cấp phép nào có thể là thành viên của một môi trường cụ thể. Bạn có thể sử dụng nhóm bảo mật để kiểm soát ai có thể truy cập tài nguyên trong các môi trường khác ngoài môi trường mặc định hoặc môi trường dành cho nhà phát triển. Power Platform Liên kết một nhóm bảo mật với mỗi môi trường có ít nhất một người dùng hoặc nhóm bảo mật lồng nhau. Sử dụng nhóm bảo mật cho từng môi trường sẽ đảm bảo rằng chỉ những người dùng phù hợp mới có thể truy cập vào môi trường đó. Nếu bạn tự động hóa quy trình tạo môi trường, bạn cũng có thể tự động hóa việc tạo nhóm bảo mật và đảm bảo rằng quản trị viên của bạn có quyền truy cập vào bất kỳ môi trường mới nào.

Power Platform người quản trị có quyền truy cập vào tất cả các môi trường, ngay cả khi họ không nằm trong nhóm bảo mật của môi trường đó. Người quản trị Dynamics 365 cần phải nằm trong nhóm bảo mật để có thể truy cập vào môi trường.

Quản lý người dùng khách

Bạn có thể cần cho phép người dùng khách truy cập vào môi trường và tài nguyên. Power Platform Tương tự như với người dùng nội bộ, bạn có thể sử dụng quyền truy cập có điều kiện ID và đánh giá quyền truy cập liên tục để đảm bảo người dùng khách được bảo mật ở mức độ cao hơn. Microsoft Entra

Để tăng cường bảo mật hơn nữa và giảm thiểu nguy cơ chia sẻ quá mức, bạn cũng có thể chặn hoặc cho phép khách truy cập vào môi trường do Microsoft Entra bạn hỗ trợ khi cần. Dataverse Theo mặc định, quyền truy cập của khách bị hạn chế đối với các môi trường được hỗ trợ mới, đảm bảo thiết lập an toàn ngay từ đầu. Dataverse Bạn có thể tăng thêm điểm bảo mật của mình bằng cách bật cài đặt này cho các môi trường hiện có.

Người tạo tuyến đường đến môi trường phát triển của riêng họ

Định tuyến môi trường cho phép Power Platform quản trị viên tự động chuyển hướng người tạo mới hoặc hiện tại vào môi trường nhà phát triển cá nhân của họ khi họ đăng nhập vào Power Platform các sản phẩm như Power Apps hoặc Copilot Studio. Chúng tôi khuyên bạn nên cấu hình định tuyến môi trường để cung cấp cho người tạo một không gian riêng tư, an toàn để xây dựng mà không sợ người khác truy cập vào ứng dụng hoặc dữ liệu của họ. Microsoft Dataverse

Truy cập tài nguyên

Vai trò bảo mật kiểm soát khả năng tạo và chạy các ứng dụng và luồng cụ thể trong môi trường. Ví dụ: bạn có thể chia sẻ ứng dụng canvas trực tiếp với người dùng hoặc nhóm ID, nhưng các vai trò bảo mật vẫn được áp dụng. Microsoft Entra Dataverse Tuy nhiên, bạn chỉ chia sẻ các ứng dụng dựa trên mô hình thông qua Dataverse vai trò bảo mật.

Chỉ định vai trò cho các danh tính dựa trên yêu cầu của chúng

Cho phép hành động dựa trên trách nhiệm của từng danh tính. Đảm bảo danh tính không làm nhiều hơn những gì cần thiết. Trước khi thiết lập các quy tắc ủy quyền, hãy đảm bảo rằng bạn hiểu rõ ai hoặc cái gì đang đưa ra yêu cầu, vai trò đó được phép làm gì và phạm vi quyền hạn của vai trò đó. Các yếu tố này hướng dẫn các quyết định kết hợp danh tính, vai trò và phạm vi.

Hãy xem xét những câu hỏi sau:

• Danh tính có cần quyền đọc hay quyền ghi vào dữ liệu không? Cấp độ truy cập ghi cần thiết là bao nhiêu?
• Nếu danh tính bị xâm phạm bởi kẻ xấu, tác động đến hệ thống sẽ như thế nào về mặt bảo mật, tính toàn vẹn và tính khả dụng?
• Danh tính có cần quyền truy cập vĩnh viễn hay có thể xem xét quyền truy cập có điều kiện không?
• Danh tính có thực hiện các hành động yêu cầu quyền quản trị hoặc quyền nâng cao không?
• Khối lượng công việc sẽ tương tác với các dịch vụ của bên thứ ba như thế nào?

Vai trò là một tập hợp các quyền được gán cho một danh tính. Chỉ định những vai trò chỉ cho phép danh tính hoàn thành nhiệm vụ và không hơn thế nữa. Khi quyền của người dùng bị hạn chế theo yêu cầu công việc của họ, sẽ dễ dàng xác định hành vi đáng ngờ hoặc trái phép trong hệ thống hơn.

Hãy đặt những câu hỏi như thế này:

• Danh tính có cần quyền để xóa tài nguyên không?
• Vai trò này chỉ cần truy cập vào các bản ghi mà họ đã tạo phải không?
• Quyền truy cập theo thứ bậc có dựa trên đơn vị kinh doanh mà người dùng đang làm việc không?
• Vai trò này có cần quyền quản trị hoặc quyền nâng cao không?
• Vai trò này có cần quyền truy cập vĩnh viễn vào các quyền này không?
• Điều gì xảy ra nếu người dùng thay đổi công việc?

Việc hạn chế mức độ truy cập của người dùng sẽ làm giảm nguy cơ tấn công tiềm ẩn. Nếu bạn chỉ cấp những quyền tối thiểu cần thiết để thực hiện các tác vụ cụ thể, nguy cơ tấn công thành công hoặc truy cập trái phép sẽ giảm đi. Ví dụ, nhà phát triển chỉ cần quyền truy cập của nhà sản xuất vào môi trường phát triển nhưng không cần quyền truy cập vào môi trường sản xuất. Họ cần quyền truy cập để tạo tài nguyên nhưng không được thay đổi thuộc tính môi trường. Họ có thể cần quyền truy cập để đọc/ghi dữ liệu từ Dataverse nhưng không cần thay đổi mô hình dữ liệu hoặc thuộc tính của Dataverse bảng.

Tránh các quyền nhắm vào người dùng cá nhân. Quyền chi tiết và tùy chỉnh tạo ra sự phức tạp và nhầm lẫn. Việc duy trì chúng có thể trở nên khó khăn khi người dùng thay đổi vai trò và chuyển sang công ty khác hoặc khi có người dùng mới có yêu cầu xác thực tương tự tham gia nhóm. Tình huống này có thể tạo ra cấu hình kế thừa phức tạp, khó bảo trì và ảnh hưởng tiêu cực đến cả bảo mật và độ tin cậy.

Cấp quyền bắt đầu bằng quyền ít nhất và thêm quyền dựa trên nhu cầu truy cập dữ liệu hoặc hoạt động của bạn. Nhóm kỹ thuật của bạn phải có hướng dẫn rõ ràng để triển khai quyền.

Thiết lập các quy trình để quản lý vòng đời danh tính

Thời gian truy cập vào danh tính không được lâu hơn thời gian mà danh tính đó truy cập vào các tài nguyên. Đảm bảo rằng bạn có quy trình vô hiệu hóa hoặc xóa danh tính khi có thay đổi trong cấu trúc nhóm hoặc thành phần phần mềm.

Thiết lập quy trình quản trị danh tính để quản lý vòng đời của danh tính kỹ thuật số, người dùng có đặc quyền cao, người dùng bên ngoài hoặc khách và người dùng khối lượng công việc. Thực hiện đánh giá quyền truy cập để đảm bảo rằng khi danh tính rời khỏi tổ chức hoặc nhóm, quyền khối lượng công việc của họ sẽ bị xóa.

Cấu hình giới hạn chia sẻ

Khi cuộc đua áp dụng AI được ưu tiên trên khắp các ngành, các quản trị viên đang tìm cách giải quyết rủi ro chia sẻ quá mức tài nguyên. Bảo mật được quản lý hỗ trợ giới hạn chia sẻ chi tiết cho các ứng dụng canvas và luồng đám mây nhận biết giải pháp, ngăn người tạo chia sẻ luồng giữa các nhóm bảo mật và với các cá nhân.

Đối với các tình huống tác nhân, quản trị viên có quyền kiểm soát chi tiết đối với quyền của biên tập viên so với quyền của người xem trên từng môi trường hoặc nhóm môi trường. Copilot Studio Họ cũng có thể hạn chế người xem vào các nhóm bảo mật, cá nhân cụ thể hoặc một số lượng người xem nhất định.

Ngoài những giới hạn chia sẻ chi tiết này, còn hạn chế khả năng của người tạo ứng dụng trong việc sử dụng Mọi người viết tắt để chia sẻ ứng dụng với mọi người trong tổ chức.

Tìm hiểu thêm:

• Chia sẻ ứng dụng canvas
• Chia sẻ ứng dụng canvas với người dùng khách
• Chia sẻ luồng đám mây
• Chia sẻ tác nhân với người dùng khác

Kết nối với các tài nguyên Azure hỗ trợ danh tính được quản lý

Để giảm thiểu rủi ro liên quan đến việc truy cập tài nguyên bên ngoài, hỗ trợ danh tính được quản lý cho Dataverse các plug-in cung cấp khả năng xác thực an toàn và liền mạch. Hỗ trợ này loại bỏ nhu cầu về thông tin xác thực được mã hóa cứng và đơn giản hóa việc quản lý quyền truy cập vào tài nguyên.

Dataverse truy cập

Dataverse sử dụng mô hình bảo mật phong phú để bảo vệ tính toàn vẹn của dữ liệu và quyền riêng tư của người dùng đồng thời thúc đẩy khả năng truy cập và cộng tác dữ liệu hiệu quả. Bạn có thể kết hợp đơn vị kinh doanh, bảo mật theo vai trò, bảo mật theo hàng à bảo mật theo cột để xác định quyền truy cập chung vào thông tin mà người dùng có trong môi trường Power Platform của bạn. Kiểm soát truy cập dựa trên vai trò (RBAC) cho phép bạn xác định quyền truy cập và quản lý quyền truy cập dữ liệu theo cách có thể mở rộng. Bằng cách sử dụng nhiều vai trò bảo mật tích hợp hoặc tùy chỉnh, bạn có thể cấp quyền ở cấp cơ sở dữ liệu, bảng hoặc bản ghi cụ thể.

Dataverse cho phép kiểm soát quyền truy cập chi tiết để quản lý quyền hạn và vai trò bảo mật cấp dữ liệu. Các vai trò này xác định bảo vệ theo hàng, trường, phân cấp và nhóm, cung cấp mức độ chi tiết và tính linh hoạt cần thiết để bảo mật dữ liệu kinh doanh có độ nhạy cảm cao trong các ứng dụng.

Microsoft Purview Data Map là giải pháp thống nhất và tự động có thể khám phá, phân loại và gắn nhãn dữ liệu nhạy cảm trên nhiều nguồn dữ liệu và miền khác nhau, bao gồm Dataverse. Việc gắn nhãn bằng Purview Data Map cho phép các tổ chức tự động phân loại dữ liệu và dễ dàng xác định dữ liệu nhạy cảm. Với tích hợp Purview Data Map, bạn có thể giảm thiểu công sức thủ công và lỗi của con người liên quan đến việc dán nhãn dữ liệu trong Dataverse bằng cách sử dụng các quy tắc và chính sách được xác định trước phù hợp với nhu cầu kinh doanh và tuân thủ của bạn.

Hiểu các yêu cầu về quản lý danh tính và quyền truy cập

Với tư cách là khách hàng, bạn có trách nhiệm:

• Quản lý tài khoản và danh tính
• Tạo và cấu hình chính sách truy cập có điều kiện
• Tạo và chỉ định vai trò bảo mật
• Kích hoạt và cấu hình kiểm tra và giám sát
• Xác thực và bảo mật các thành phần có thể kết nối tới Power Platform

Hiểu các yêu cầu chính cho khối lượng công việc bạn đang triển khai. Power Platform Hãy tự hỏi bản thân những câu hỏi sau để xác định các tính năng quản lý danh tính và quyền truy cập cần cấu hình.

• Bạn triển khai cơ chế kiểm soát truy cập và xác thực như thế nào để đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập khối lượng công việc?
• Làm thế nào để đảm bảo xác thực người dùng an toàn và liền mạch?
• Làm thế nào để kiểm soát ứng dụng nào có thể tương tác với AI tạo sinh (tác nhân) và biện pháp nào đảm bảo những hạn chế này có hiệu quả?
• Khối lượng công việc được tích hợp an toàn với các hệ thống nội bộ và bên ngoài khác như thế nào?
• Người dùng có thể truy cập giải pháp này từ đâu? Ví dụ, họ đang sử dụng thiết bị di động hay trình duyệt web?
• Người dùng của bạn là người nội bộ, bên ngoài hay cả hai?

Đề xuất

Việc quản lý hiệu quả người tạo, người dùng và khách là điều cần thiết để duy trì tính bảo mật, tuân thủ và hiệu quả hoạt động trong môi trường. Power Platform Sau đây là các khuyến nghị chi tiết về cách quản lý quyền truy cập và quyền cấp phép:

1. Định tuyến người tạo chương trình đến môi trường phát triển cá nhân của họ: Sử dụng định tuyến môi trường để khuyến khích người tạo chương trình sử dụng môi trường phát triển cá nhân của họ để xây dựng và thử nghiệm các ứng dụng. Cách tiếp cận này tách biệt các hoạt động phát triển khỏi môi trường sản xuất, giảm thiểu nguy cơ thay đổi hoặc gián đoạn ngẫu nhiên. Môi trường phát triển cá nhân cung cấp không gian an toàn cho việc thử nghiệm và đổi mới mà không ảnh hưởng đến các hoạt động kinh doanh quan trọng.

2. Không cho phép quyền của nhà sản xuất trong môi trường thử nghiệm và sản xuất: Hạn chế quyền của nhà sản xuất trong môi trường thử nghiệm và sản xuất để ngăn chặn những thay đổi trái phép và đảm bảo rằng chỉ những ứng dụng đã được phê duyệt và kiểm tra kỹ lưỡng mới được triển khai. Sự phân chia nhiệm vụ này giúp duy trì tính toàn vẹn và ổn định của hệ thống sản xuất, giảm thiểu rủi ro xảy ra lỗi và lỗ hổng bảo mật.

3. Kiểm soát quyền truy cập bằng cách sử dụng các vai trò bảo mật có ít đặc quyền nhất: Triển khai kiểm soát quyền truy cập dựa trên vai trò (RBAC) để chỉ định quyền dựa trên nguyên tắc đặc quyền tối thiểu. Chỉ cấp cho người dùng quyền truy cập cần thiết để thực hiện các tác vụ cụ thể của họ. Bằng cách hạn chế quyền, bạn sẽ giảm thiểu được nguy cơ tấn công và tác động tiềm ẩn của các vi phạm bảo mật.

4. Chẩn đoán sự cố truy cập của người dùng bằng cách gọi 'Chạy chẩn đoán': Sử dụng lệnh Chạy chẩn đoán để khắc phục sự cố và chẩn đoán sự cố truy cập của người dùng. Công cụ này giúp xác định và giải quyết các vấn đề liên quan đến quyền, đảm bảo rằng người dùng có quyền truy cập phù hợp để thực hiện nhiệm vụ của mình. Chẩn đoán thường xuyên cũng có thể giúp phát hiện và giải quyết các lỗ hổng bảo mật tiềm ẩn.

5. Giới hạn chia sẻ với Mọi người và đánh giá việc cấu hình các giới hạn cụ thể: Tránh các quyền chia sẻ rộng rãi cho phép mọi người truy cập vào một tài nguyên. Cấu hình giới hạn chia sẻ cụ thể để kiểm soát số lượng người dùng mà nhà sản xuất có thể chia sẻ ứng dụng và dữ liệu của họ.

6. Áp dụng chính sách dữ liệu cho môi trường mặc định và nhà phát triển: Áp dụng chính sách dữ liệu cho môi trường mặc định và nhà phát triển để hạn chế quyền truy cập chỉ vào các trình kết nối mà nhà sản xuất cần. Phương pháp này giúp ngăn chặn việc truyền dữ liệu trái phép và đảm bảo thông tin nhạy cảm được bảo vệ. Thường xuyên xem xét và cập nhật chính sách dữ liệu để phù hợp với các yêu cầu bảo mật thay đổi.

7. Sử dụng Microsoft Entra Nhóm ID để bảo mật quyền truy cập môi trường: Sử dụng Microsoft Entra Nhóm ID để quản lý và bảo mật quyền truy cập vào Power Platform môi trường. Bằng cách nhóm người dùng dựa trên vai trò và trách nhiệm của họ, bạn có thể chỉ định và quản lý quyền một cách hiệu quả. Microsoft Entra Nhóm ID cũng đơn giản hóa quá trình cập nhật quyền kiểm soát truy cập khi nhu cầu của tổ chức thay đổi.

8. Sử dụng Dataverse để có mô hình bảo mật RBAC linh hoạt tích hợp: Dataverse cung cấp mô hình bảo mật kiểm soát truy cập dựa trên vai trò linh hoạt, tích hợp cho phép bạn quản lý quyền của người dùng và quyền truy cập dữ liệu một cách hiệu quả. Mô hình này cho phép bạn xác định vai trò tùy chỉnh và chỉ định các quyền cụ thể dựa trên chức năng và trách nhiệm công việc. Đảm bảo rằng người dùng chỉ có quyền truy cập cần thiết để thực hiện nhiệm vụ của họ. Với các tính năng như quyền chi tiết, bảo mật phân cấp và quyền truy cập theo nhóm, mô hình RBAC của Dataverse tăng cường bảo vệ dữ liệu, hỗ trợ tuân thủ các yêu cầu quy định và đơn giản hóa việc quản lý quyền truy cập của người dùng trong Power Platform môi trường.

Các bước tiếp theo

Xem lại các bài viết chi tiết trong loạt bài này để nâng cao hơn nữa khả năng bảo mật của bạn:

• Phát hiện các mối đe dọa đối với tổ chức của bạn
• Thiết lập các biện pháp kiểm soát bảo vệ dữ liệu và quyền riêng tư
• Triển khai chiến lược chính sách dữ liệu
• Đáp ứng các yêu cầu tuân thủ
• Bảo mật môi trường mặc định

Sau khi xem xét các bài viết, hãy xem lại danh sách kiểm tra bảo mật để đảm bảo việc triển khai mạnh mẽ, linh hoạt và phù hợp với các thông lệ tốt nhất. Power Platform

Xem lại danh sách kiểm tra bảo mật