管理安全性
系統管理中心中的 「 安全性 Power Platform 」頁可説明您以最安全的方式使用最佳實踐和一組全面的安全功能來管理組織中的安全性。 您可以使用此頁面來:
- 評估您的安全狀態:瞭解並改進組織的安全策略,以滿足您的需求。
- 根據建議採取行動:確定最有影響力的建議並採取行動,以改進評估。
- 設置主動策略:使用豐富的工具和安全功能集來獲得深入的可見性、檢測威脅,並主動設置策略以説明保護組織免受漏洞和風險的影響。
先決條件
若要深入瞭解租戶的安全評估和建議,請啟用租戶級分析。 有關說明,請參閱 如何啟用租戶級分析。
注意
啟用租戶級分析后,可能需要長達 48 小時才能使用數據填充「安全」頁。 在此之前,頁面上的大多數部分都顯示“不可用”。
要訪問「安全」頁面,請執行以下操作:
從左側選單中,選擇安全性。
如果不啟用租戶級分析,頁面上不會顯示任何數據。
租戶的安全評估
安全評估以定性等級進行說明,並帶有標準、增強或 進階的標籤。 評估是根據系統建議、用戶和製作者活動以及您應用的安全配置計算得出的。 它是對 Power Platform 工作負載的組織安全狀況的衡量。 增強和進階評估標籤表示已採取更多建議操作,租用戶的安全狀態已得到改善。
安全評估計算為已實現的影響與可能影響總數的總和。
公式:總實現影響/總可能影響
根據功能範圍(租戶或環境)以及因打開或關閉功能而受影響的資源數,為每個功能分配影響狀態。
| 特點 | 影響 |
|---|---|
| IP 防火牆 | 1 x 各種環境 |
| IP cookie 綁定 | 1 x 各種環境 |
| 環境安全性群組 | 1 x 各種環境 |
| 租用戶資料原則 | 環境總數 |
| 租用戶隔離 | 環境總數 |
| 客戶加密箱 | 如果啟用,則為託管環境的總數。 如果未開啟則為零。 如果未啟用且沒有受控環境,則為零。 |
示例:具有 10 個環境(5 個託管環境和 5 個非託管環境)的租戶
| 特點 | 影響 | 影響最大 |
|---|---|---|
| IP 防火牆 | 1 x 各種環境 | 10 個環境 x 1 或 10 |
| IP cookie 綁定 | 1 x 各種環境 | 10 個環境 x 1 或 10 |
| 環境安全性群組 | 1 x 各種環境 | 10 個環境 x 1 或 10 |
| 租用戶資料原則 | 環境總數 | 10 環境 |
| 租用戶隔離 | 環境總數 | 10 環境 |
| 客戶加密箱 | 如果啟用,則為託管環境的總數。 如果未打開,則為 0。 如果未打開且沒有託管環境,則為 0。 |
五種環境 |
最大可能影響為 55。
假設有關環境的以下資訊:
- 使用租用戶隔離 (10)
- 租戶上至少配置了一個數據策略(10)
- 5/10 環境沒有安全性群組
- 10 個環境中有 2 個具有 IP 防火牆
- 10 個環境中的 3 個具有 IP Cookie 綁定
- 客戶加密箱已關閉
根據概述的示例,實現的狀態為:10 + 10 + 5 + 2 + 3 或 30。 根據公式:已實現的總影響/可能的總影響,評估值為 30/55,其標籤為增強。
注意
顧問可以具有比租戶中的環境數更多的建議,因為一個環境可以有多個建議。 可以有一對多關聯。 例如,環境可以具有啟用 IP 防火牆和 IP Cookie 綁定的建議。
通過建議進行反應式治理
系統根據常見的最佳做法生成各種建議,以改進租戶的安全評估。 建議是指系統管理員為提高其總體安全狀況可以採取的行動或措施。
- 可以透過選擇該功能的建議操作下的連結來執行系統產生的建議。
- 若要設定建議之外的功能,請選擇管理按鈕。
管理主動策略以實現治理和安全性
有幾個安全功能可幫助保護租戶,包括:
租用戶隔離:此功能適用於租戶級別的託管和非託管環境。 租用戶隔離,讓全域管理員和 Power Platform 管理員來管理租戶數據從 Microsoft Entra授權數據源到其租戶的移動以及從其租戶的移動。 有關詳細資訊,請參閱 跨租戶入站和出站限制
客戶密碼箱:此功能僅適用於 受控環境。 客戶加密箱提供了一個介面,供客戶在極少數需要存取客戶資料的情況下審查和核准 (或拒絕) 資料存取請求。 它用於 Microsoft 工程師需要需要存取客戶資料的情況,無論是回應客戶發起的支援憑證還是 Microsoft 所識別的問題。 有關詳細資訊,請參閱 使用 Dynamics 365 中的 Power Platform 客戶密碼箱安全存取客戶資料
IP 防火牆:此功能僅適用於具有 Dataverse 的託管環境。 IP 防火牆限制使用者只能從允許的 IP 位置存取 Dataverse,從而幫助保護您的組織資料。 IP 防火牆會即時分析每個要求的 IP 位址。 有關詳細資訊,請參閱 環境中的IP防火牆 Power Platform
基於 IP 位址的 cookie 綁定:此功能僅適用於具有 Dataverse 的託管環境。 它會透過 IP 位址型 cookie 綁定來防止 Dataverse 中的會話劫持漏洞。 有關詳細資訊,請參閱 使用IP Cookie綁定保護 Dataverse 會話
數據策略:此功能在租戶級別和環境級別同時適用於託管環境和非託管環境。 在環境或租用戶層級設定資料策略可充當護欄,幫助降低使用者無意中暴露組織資料的風險。 有關詳細資訊,請參閱 數據策略
注意
如果未定義租戶級策略,則會觸發數據策略建議。 目前,在為租戶執行安全評估時,不會考慮任何環境範圍的數據策略。
環境安全組:此功能適用於託管環境和非託管環境。 設置安全組有助於控制哪些許可用戶可以訪問環境。 有關更多資訊,請參閱 控制使用者對環境的訪問:安全組和許可證
Azure 虛擬網路: 此功能僅適用於 受控環境。 設定 Azure 虛擬網路可協助您將 Power Platform 與虛擬網路內的資源整合,而無需將它們暴露在公共網際網路上。 有關詳細資訊,請參閱 虛擬網路支援概述 Power Platform
注意
目前版本中不提供 Azure 虛擬網路的建議,但計劃在未來的更新中提供。
審核: 此功能僅適用於具有 Dataverse 受控環境 和非託管環境。 稽核紀錄日誌變更是在具有 Dataverse 資料庫的環境中對客戶記錄進行的。 Dataverse 稽核也會透過應用程式或透過環境中的 SDK,來記錄使用者的存取權。 有關詳細資訊,請參閱 管理 Dataverse 審核
注意
審核建議在當前版本中不可用,但計劃在將來的更新中提供。
常見問題集 (FAQ)
“安全頁面何時可用於政府社區雲(GCC)?
安全性頁面計劃在正式發佈後在 GCC 中提供。
客戶可以根據自己的需求修改建議或參數嗎?
否。 這些建議是系統生成的,基於 Microsoft 的最佳實踐和指南。